Filtro servizi Cisco

[S0nic]

Ciao a tutti,

ho bisogno del vostro aiuto.

ho configurato un 2801
tutto funziona come dovrebbe ma ho un solo problema

vi spiego:

Fa0/0 è collegata ad un modem ed ha assegnato direttamente l'IP Pubblico
Fa0/1 collega la LAN

Codice: Seleziona tutto

Host is up (0.040s latency).
Not shown: 989 closed ports
PORT     STATE    SERVICE
23/tcp   open     telnet
53/tcp   open     domain
88/tcp   open     kerberos-sec
113/tcp  filtered ident
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
1025/tcp filtered NFS-or-IIS
5000/tcp filtered upnp
6129/tcp filtered unknown
9000/tcp open     cslistener

ora, purtroppo dall'esterno sono raggiungibili tutti i servizi presenti sul 2801
e vorrei filtrarli...non so macari con una ACL

le porte 88, 6129 e 9000 fanno riferimento ad un Port Mapping ed è corretto che siano aperte ma il resto fanno riferimento al Router.

Potreste darmi un consiglio su come procedere e lasciare quei servizi raggiungibili solo dalla LAN ?

Grazie mille in anticipo

[fulviobz]

Ciao,
prova cosi

Codice: Seleziona tutto

ip inspect name IP_INSPECT tcp
ip inspect name IP_INSPECT udp

access-list 110 permit tcp any any eq 88
access-list 110 permit tcp any any eq 6129
access-list 110 permit tcp any any eq 9000
access-list 110 permit udp any eq domain any gt 1023
access-list 110 deny   ip any any

interface FastEthernet 0/0
ip inspect IP_INSPECT out
ip access-group 110 in

[S0nic]

Ciao,
prova cosi

Codice: Seleziona tutto

ip inspect name IP_INSPECT tcp
ip inspect name IP_INSPECT udp

access-list 110 permit tcp any any eq 88
access-list 110 permit tcp any any eq 6129
access-list 110 permit tcp any any eq 9000
access-list 110 permit udp any eq domain any gt 1023
access-list 110 deny   ip any any

interface FastEthernet 0/0
ip inspect IP_INSPECT out
ip access-group 110 in

ok grazie mille
adesso provo
ma 2 curiosità
se poi dovrò eseguire un nuovo port mapping devo riscrivere l'ACL o posso solo aggiungere la nuova riga ?

secondo, scusa la mia ignoranza

Codice: Seleziona tutto

ip inspect name IP_INSPECT tcp
ip inspect name IP_INSPECT udp

cosa fa ?

[fulviobz]

Col access-list blocchi tutto il traffico in ingresso proveniente da internet
(a parte le 3 porte e il dns) e quindi non passa piu nemmeno il traffico
che da internet va verso la LAN;
Col IP_INSPECT permetti ai pacchetti delle connessioni tcp e udp partite dalla
LAN ti venir accettati

[S0nic]

Col access-list blocchi tutto il traffico in ingresso proveniente da internet
(a parte le 3 porte e il dns) e quindi non passa piu nemmeno il traffico
che da internet va verso la LAN;
Col IP_INSPECT permetti ai pacchetti delle connessioni tcp e udp partite dalla
LAN ti venir accettati

chiarissimo
Grazie mille!

[S0nic]

Col access-list blocchi tutto il traffico in ingresso proveniente da internet
(a parte le 3 porte e il dns) e quindi non passa piu nemmeno il traffico
che da internet va verso la LAN;
Col IP_INSPECT permetti ai pacchetti delle connessioni tcp e udp partite dalla
LAN ti venir accettati

chiarissimo
Grazie mille!

Ciao,

scusami ho fatto quello che mi hai suggerito
ma appena inserisco l'ACL non navigo più

ho seguito alla lettera la tua config

[fulviobz]

mm.. prova a postare la configurazione

[S0nic]

Ecco la config, ovviamente ho tolto l'ACL e gli altri comandi da te indicati prima
senò quì nessuno navigava

Codice: Seleziona tutto

Current configuration : 2779 bytes
!
! Last configuration change at 10:32:05 MET Fri Aug 8 2014 by fabio
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Sn-Router
!
boot-start-marker
boot system flash c2801-advipservicesk9-mz.124-8a.bin
boot-end-marker
!
logging buffered 4096 debugging
enable password 7 ***
!
no aaa new-model
!
resource policy
!
clock timezone MET 1
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.252 192.168.0.254
!
ip dhcp pool LAN
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.254
   domain-name local
   dns-server 192.168.0.254
!
ip dhcp pool AP1
   host 192.168.0.253 255.255.255.0
   hardware-address ***
   client-name Ap1
!
ip dhcp pool AP2
   host 192.168.0.252 255.255.255.0
   client-identifier ***
   client-name Ap2
!
ip dhcp pool Media
   host 192.168.0.2 255.255.255.0
   client-identifier ***
   client-name Media
!
ip dhcp pool Server
   host 192.168.0.1 255.255.255.0
   hardware-address ***
   client-name Server
!
!
ip host dvr.***.net 192.168.0.223
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username *** password 7 ***
!
!
!
!
!
!
interface FastEthernet0/0
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/3/0
 no ip address
 shutdown
 clock rate 2000000
!
ip route 192.168.10.0 255.255.255.0 FastEthernet0/0
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat translation timeout 10
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 301
ip nat translation finrst-timeout 61
ip nat translation syn-timeout 50
ip nat inside source list NAT_TO_INTERNET interface FastEthernet0/0 overload
ip nat inside source static udp 192.168.0.2 4672 interface FastEthernet0/0 4672
ip nat inside source static tcp 192.168.0.2 4662 interface FastEthernet0/0 4662
ip nat inside source static tcp 192.168.0.223 15961 interface FastEthernet0/0 15961
ip nat inside source static tcp 192.168.0.223 9000 interface FastEthernet0/0 9000
ip nat inside source static tcp 192.168.0.223 88 interface FastEthernet0/0 88
!
ip access-list standard NAT_TO_INTERNET
 permit 192.168.0.0 0.0.0.255
!
logging trap errors
logging facility local5
logging source-interface FastEthernet0/0
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17177787
ntp server 193.204.114.232
end

Grazie!

[fulviobz]

allora, non ho un cisco 2800 sotto mano ma ho provato con Cisco Packet Tracer, simulando un cisco 2811:

partendo dalla tua configurazione funzionante ho aggiunto le regole scritte sopra e pare vada,
l'unica cosa ho aggiunto anche "ip inspect name IP_INSPECT icmp";
facendo "ping 8.8.8.8" ritorna qualcosa?

l'unico dubbio che mi viene è che il router abbia bisogno di una porta aperta per ricevere l'ip pubblico via dhcp;
puoi controllare se l'ip pubblico viene assegnato al router?

[S0nic]

ho risolto filtrando solo i servizi aperti con una normale ACL
il metodo da te proposto funziona ma troppo macchinoso in quanto dovrei abilitare con ip inspect tutti i servizi che voglio usare
tipo ftp, https ecc...con il rischio che qualcosa sempre non funzioni e di agire sempre sulla config.

Grazie cmq

[fulviobz]

con "ip inspect name IP_INSPECT tcp" si dovrebbero già includere tutti i livelli sopra tipo http, https, ecc..
col mio 887 funziona, forse c'è qualcosaltro che manca

ad esempio da me ci sono:

Codice: Seleziona tutto

ip inspect name IP_INSPECT tcp
ip inspect name IP_INSPECT udp
ip inspect name IP_INSPECT ftp
ip inspect name IP_INSPECT icmp

facendo un ping da una macchina nella lan:

Codice: Seleziona tutto

$ ping -n -c 4 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_req=1 ttl=45 time=73.5 ms
64 bytes from 8.8.8.8: icmp_req=2 ttl=45 time=72.5 ms

poi sul router vedro:

Codice: Seleziona tutto

#show ip inspect all | section 8.8.8.8
 Session 8A3DDAF4 (10.100.1.22:8)=>(8.8.8.8:0) icmp SIS_OPEN

e stessa cosa per le http e https

Codice: Seleziona tutto

 Session 8A3DBEEC (10.100.1.22:34756)=>(173.194.112.63:80) tcp SIS_OPEN

sarebbe interessante vedere dai log come mai dal tuo con "inspect http" funziona e col "inspect tcp" invece no

[S0nic]

grazie mille x queste info
per il momento ho aperto un altro post...ho un problema diciamo più serio con il dns server

Grazie ancora!