.Per il nat, se ho capito bene come gira la tua linea, devi nattare su IP pubblico che hai sul router.
Fammi sapere.
Ciao
Paolo
hdsl mc-link su 1721
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ti capisco bene. Noi siamo stati fermi 5 giorni su una HDSL 4Mb perchè se la rimpallavano tra ISP e gestore di rete .
Per il nat, se ho capito bene come gira la tua linea, devi nattare su IP pubblico che hai sul router.
Fammi sapere.
Ciao
Paolo
.Per il nat, se ho capito bene come gira la tua linea, devi nattare su IP pubblico che hai sul router.
Fammi sapere.
Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Hai provato?
Ciao
Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
-
Hesse99
- n00b
- Messaggi: 15
- Iscritto il: sab 26 feb , 2011 4:43 pm
Allora, per il nat ho voluto far le cose "per benino":
- una range dhcp che utilizza il nat 1:N su un unico ip pubblico
- vari ip statici 1:1
Ci'ho picchiato un po' la testa ma ora funziona! Non so esattamente dove sbagliassi
Ora ho un qualche semplice dubbio:
1- se eseguo uno scan delle porte aperte sull'indirizzo pubblico del cisco A.B.C.D (dove esce il nat 1:N), vedo che ci sono le seguenti:
PORT STATE SERVICE
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Cosa sono? Immagino che siano servizi del cisco. Vorrei chiuderle, come faccio?
In effetti, poichè ho il router in "casa", vorrei poter accedere alla sua configurazione solo dalla console (con cavo dedicato); per ora ho disabilitato telnet con le seguenti righe ma non ho impostato nessuna password perchè, dovendo aver accesso fisico al router, non dovrebbero essere necessarie:
aaa new-model
....
line vty 0 4
transport input none
Invece il servizio snmp mi piace, e vorrei vederlo attivo solo sulla lan:
! 20= gruppo 192.168.9.0/28
snmp-server community secret RO 20
2- ho provato a chiudere tali porte con una access-list lato wan, ma non funziona, è come se il comando "ip access-group 111 in" non fosse mai stato dato. Forse sbaglio interfaccia? Anche se provo a limitare l'accesso agli ip statici nattati 1:1 non ci riesco, ma in effetti mi rendo conto di aver messo limitazioni solo sulla serial 0.1; avrei dovuto creare una loopback dedicata per ogni ip?
Non mi è necessario limitare tale traffico, ma poterlo fare a piacimento mi fa sentire sicuro di "aver domato la bestia"
3- ci sono delle temporizzazioni da impostare sui vari tipi di connessione? oppure quelle di default vanno bene? Il router deve solo far passare le connessioni tra server vpn sparsi su internet. Sporadicamente ci sarà del traffico web. Se non erro alcuni hanno avuto problemi con emule, ma qui non viene usato (spero).
Qui di seguito la nuova configurazione:
aaa new-model
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.9.1 192.168.9.29
!
ip dhcp pool LAN
network 192.168.9.0 255.255.255.0
default-router 192.168.9.1
dns-server 8.8.8.8
lease 20
!
!
interface Loopback0
! pur avendo 8 ip disponibili qui ho messo /32..
ip address A.B.C.D 255.255.255.255
ip access-group 122 in
!
interface FastEthernet0
description LAN PRIVATA
ip address 192.168.9.1 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
no cdp enable
!
interface Serial0
description Frame-Relay Net
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no ip route-cache cef
no ip route-cache
no fair-queue
!
interface Serial0.1 point-to-point
description Connessione SHDSL MC-link
bandwidth 56
ip access-group 122 in
ip nat outside
no ip route-cache
no cdp enable
frame-relay interface-dlci 20 ppp Virtual-Template1
!
interface Virtual-Template1
ip address negotiated
ip nat outside
ppp chap hostname <USERNAME>
ppp chap password 0 <PSW>
ppp pap sent-username <USERNAME> password 0 <PSW>
ppp ipcp route default
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
!
no ip http server
ip nat inside source list 1 interface Loopback0 overload
ip nat inside source static 192.168.9.2 A.B.C.(D+1)
!
access-list 1 permit 192.168.9.0 0.0.0.255
!
access-list 20 permit 192.168.9.0 0.0.0.255
!
access-list 101 permit ip 192.168.9.0 0.0.0.255 any
! la seguente per il broadcast in fase di negoziazione dhcp
! forse e' equivalente a "udp any any" ?
access-list 101 permit udp host 0.0.0.0 host 255.255.255.255
access-list 101 deny ip any any
!
! non utilizzata; la userò lato wan non appena vedrò che la 122 funziona
access-list 111 permit ip any any
!
! non funziona!
access-list 122 remark Accesso vietato dalla Wan sul cisco
access-list 122 deny ip any any
!
snmp-server community secret RO 20
!
no cdp run
!
control-plane
!
!
line con 0
transport preferred none
line aux 0
line vty 0 4
transport input none
!
end
- una range dhcp che utilizza il nat 1:N su un unico ip pubblico
- vari ip statici 1:1
Ci'ho picchiato un po' la testa ma ora funziona! Non so esattamente dove sbagliassi
Ora ho un qualche semplice dubbio:
1- se eseguo uno scan delle porte aperte sull'indirizzo pubblico del cisco A.B.C.D (dove esce il nat 1:N), vedo che ci sono le seguenti:
PORT STATE SERVICE
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Cosa sono? Immagino che siano servizi del cisco. Vorrei chiuderle, come faccio?
In effetti, poichè ho il router in "casa", vorrei poter accedere alla sua configurazione solo dalla console (con cavo dedicato); per ora ho disabilitato telnet con le seguenti righe ma non ho impostato nessuna password perchè, dovendo aver accesso fisico al router, non dovrebbero essere necessarie:
aaa new-model
....
line vty 0 4
transport input none
Invece il servizio snmp mi piace, e vorrei vederlo attivo solo sulla lan:
! 20= gruppo 192.168.9.0/28
snmp-server community secret RO 20
2- ho provato a chiudere tali porte con una access-list lato wan, ma non funziona, è come se il comando "ip access-group 111 in" non fosse mai stato dato. Forse sbaglio interfaccia? Anche se provo a limitare l'accesso agli ip statici nattati 1:1 non ci riesco, ma in effetti mi rendo conto di aver messo limitazioni solo sulla serial 0.1; avrei dovuto creare una loopback dedicata per ogni ip?
Non mi è necessario limitare tale traffico, ma poterlo fare a piacimento mi fa sentire sicuro di "aver domato la bestia"
3- ci sono delle temporizzazioni da impostare sui vari tipi di connessione? oppure quelle di default vanno bene? Il router deve solo far passare le connessioni tra server vpn sparsi su internet. Sporadicamente ci sarà del traffico web. Se non erro alcuni hanno avuto problemi con emule, ma qui non viene usato (spero).
Qui di seguito la nuova configurazione:
aaa new-model
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.9.1 192.168.9.29
!
ip dhcp pool LAN
network 192.168.9.0 255.255.255.0
default-router 192.168.9.1
dns-server 8.8.8.8
lease 20
!
!
interface Loopback0
! pur avendo 8 ip disponibili qui ho messo /32..
ip address A.B.C.D 255.255.255.255
ip access-group 122 in
!
interface FastEthernet0
description LAN PRIVATA
ip address 192.168.9.1 255.255.255.0
ip access-group 101 in
no ip proxy-arp
ip nat inside
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
no cdp enable
!
interface Serial0
description Frame-Relay Net
bandwidth 2048
no ip address
encapsulation frame-relay IETF
no ip route-cache cef
no ip route-cache
no fair-queue
!
interface Serial0.1 point-to-point
description Connessione SHDSL MC-link
bandwidth 56
ip access-group 122 in
ip nat outside
no ip route-cache
no cdp enable
frame-relay interface-dlci 20 ppp Virtual-Template1
!
interface Virtual-Template1
ip address negotiated
ip nat outside
ppp chap hostname <USERNAME>
ppp chap password 0 <PSW>
ppp pap sent-username <USERNAME> password 0 <PSW>
ppp ipcp route default
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0.1
!
no ip http server
ip nat inside source list 1 interface Loopback0 overload
ip nat inside source static 192.168.9.2 A.B.C.(D+1)
!
access-list 1 permit 192.168.9.0 0.0.0.255
!
access-list 20 permit 192.168.9.0 0.0.0.255
!
access-list 101 permit ip 192.168.9.0 0.0.0.255 any
! la seguente per il broadcast in fase di negoziazione dhcp
! forse e' equivalente a "udp any any" ?
access-list 101 permit udp host 0.0.0.0 host 255.255.255.255
access-list 101 deny ip any any
!
! non utilizzata; la userò lato wan non appena vedrò che la 122 funziona
access-list 111 permit ip any any
!
! non funziona!
access-list 122 remark Accesso vietato dalla Wan sul cisco
access-list 122 deny ip any any
!
snmp-server community secret RO 20
!
no cdp run
!
control-plane
!
!
line con 0
transport preferred none
line aux 0
line vty 0 4
transport input none
!
end
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
ti risponderò con più calma stasera.
Comunque le porte 139 e 445 non sono della Cisco ma del tuo PC Protocollo di condivisione Windows.
Hai 2 access-list identiche 1 e 20.
L'ACL 111 permette tutto perciò non so come hai provato a bloccare.
Buona giornata e bravo per la configurazione
ti risponderò con più calma stasera.
Comunque le porte 139 e 445 non sono della Cisco ma del tuo PC Protocollo di condivisione Windows.
Hai 2 access-list identiche 1 e 20.
L'ACL 111 permette tutto perciò non so come hai provato a bloccare.
Buona giornata e bravo per la configurazione
Non cade foglia che l'inconscio non voglia (S.B.)
-
Hesse99
- n00b
- Messaggi: 15
- Iscritto il: sab 26 feb , 2011 4:43 pm
Non c'e' fretta, anzi ti ringrazio!paolomat75 ha scritto:Ciao,
ti risponderò con più calma stasera.
Visto che l'indirizzo A.B.C.D (del loopback0) è in nat 1:N non dovrebbe esporre niente della lan; infatti quale ip interno del pool dhcp dovrebbe esporre?paolomat75 ha scritto: Comunque le porte 139 e 445 non sono della Cisco ma del tuo PC Protocollo di condivisione Windows.
Senza contare che non c'e' nessun computer collegato
C'e' solo un pc linux sull'ip A.B.C.(D+1) nattato 1:1, e infatti di questo vedo ssh e quel poco altro che ho condiviso.Si, me ne sono accorto mentre postavo. Vabbeh, poi le sistemopaolomat75 ha scritto: Hai 2 access-list identiche 1 e 20.
Si, ma l'111 non viene mai utilizzata. Stavo facendo le prove di "bloccaggio con la lista 122. Quando avrò padronanza delle ACL allora userò l'111 (che ormai avevo scritta, e mi fa fatica cancellarepaolomat75 ha scritto: L'ACL 111 permette tutto perciò non so come hai provato a bloccare.
Attendo i tuoi commenti, se ti va e quando avrai qualche minutopaolomat75 ha scritto: Buona giornata e bravo per la configurazione
Grazie!
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Beh sulla Loopback hai fatto il nat PAT. Sei sicuro che non hai altri PC.
Controlla con
Ciao
Controlla con
Codice: Seleziona tutto
sh ip nat translationNon cade foglia che l'inconscio non voglia (S.B.)
-
Hesse99
- n00b
- Messaggi: 15
- Iscritto il: sab 26 feb , 2011 4:43 pm
Non ho altri pc poichè il cavo dal cisco entra direttamente nel pc linux (non ci sono switch nel mezzo).
Shell#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- A.B.C.(D+1) 192.168.9.2 --- ---
Vedo solo il nat statico, il nat PAT dov'e'? Eppure funziona.
Shell#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- A.B.C.(D+1) 192.168.9.2 --- ---
Vedo solo il nat statico, il nat PAT dov'e'? Eppure funziona.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Il PAT viene fatto da questa riga
Strano che vedi le porte 139 e 445 se hai quella tabella translations. Prova a fare uno scan e poi ridai il comando.
Posso sbagliarmi ma il router non apre quelle porte, se la scansione le trova aperte deve girare su qualche altro PC
Ciao
Codice: Seleziona tutto
ip nat inside source list 1 interface Loopback0 overloadPosso sbagliarmi ma il router non apre quelle porte, se la scansione le trova aperte deve girare su qualche altro PC
Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
-
Hesse99
- n00b
- Messaggi: 15
- Iscritto il: sab 26 feb , 2011 4:43 pm
Ho dimenticato che sul pc linux c'era Samba; ora è sull'ip nattato 1:1, ma per qualche minuto è stato sul nat PAT
Ora che ho spento e riavviato entrambi (pc + cisco) è tutto in regola:
ip nattato PAT:
nessuna porta aperta
ip nattato 1:1
PORT STATE SERVICE
53/tcp open domain
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Se metto il pc-linux sotto PAT non si apre nessuna porta, com'e' giusto che sia.
Boh, sarà rimasto qualche collegamento aperto? Eppure avevo eseguito un "clear ip nat translation *".. non saprei, ma facciamo finta di che riguardo a quelle porte io abbia preso un abbaglio.
Ora che ho spento e riavviato entrambi (pc + cisco) è tutto in regola:
ip nattato PAT:
nessuna porta aperta
ip nattato 1:1
PORT STATE SERVICE
53/tcp open domain
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Se metto il pc-linux sotto PAT non si apre nessuna porta, com'e' giusto che sia.
Boh, sarà rimasto qualche collegamento aperto? Eppure avevo eseguito un "clear ip nat translation *".. non saprei, ma facciamo finta di che riguardo a quelle porte io abbia preso un abbaglio.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ah ecco. Mi sembrava strano che non ci fosse stato un PC.
Buona serata
Buona serata
Non cade foglia che l'inconscio non voglia (S.B.)
