Permettere accesso a server FTP dall'esterno

[whites07]

Ciao,
sto mettendo a punto la config del mio soho77, l'adsl funziona in pppoa e riesco a navigare in internet, ho aperto le porte per emule e va tutto bene.
Adesso devo permettere l'accesso al mio ftp dall'esterno ho fatto delle prove ma niente, qualcuno puo aiutarmi? Vi allego la mia config, dateci un'okkio se avete tempo. Poi ho letto la discussione-how to su ACL e ho vergognosamente copiato il blocco del telnet dell'esterno, dovrebbe essere ok, me lo confermate? Infine vorrei sapere come posso rimuovere delle voci dalla configurazione tipo dei nat static a delle ACL, ho provato ad editare il file di config con vim, ma se lo ricarico sul router aggiunge solo le nuove voci, ma non elimina le vecchie, devo cancellare il running-config presente sul router?
Grazie a tutti, alla prossima...sto ancora lavorando per ottenere una config decente, soprattutto per quanto riguarda le ACL in modo da migliorare la sicurezza della mia rete.

[TheIrish]

Ciao!
Allora, in effetti ci sono delle cose da rivedere. Per cancellare un comando basta dargli il no davanti al comando.
es:

Codice: Seleziona tutto

access-list 101 permit ip any any
no access-list 101 permit ip any any

tedioso, ma questo è il modo. Se editi il file di configurazione con un editor di testo, la cosa migliore è sovrascrivere la startup-config e riavviare

Poi, ci sono delle cose da modificare nella acl.
Per esempio:

Codice: Seleziona tutto

access-list 101 permit tcp any 192.168.7.0 0.0.0.255

E allora il resto a cosa serve? Direi che va eliminata come spiegato sopra.
Poi:

Codice: Seleziona tutto

access-list 102 permit tcp any eq ftp host 192.168.7.65 eq ftp
access-list 102 permit tcp any eq ftp-data host 192.168.7.65 eq ftp-data

brrrr.... via anche queste. 1 perché non hanno senso, 2 perché, visto che questa acl è applicata a dialer0, in questa fase l'acl non è ancora in grado di riconoscere gli host interni.
E alla fine:

Codice: Seleziona tutto

access-list 102 deny   tcp any any eq ftp

Come puoi pretendere che funzioni se lo blocchi?

[whites07]

Ciao!
Grazie dei consigli, ho tolto quello che mi hai detto ma ancora non riesco ad accedere al mio ftp dall'esterno
Allora per riassumere ho scritto le regole per il nat static e ho provato un po' di ACL ma non ho ancora trovato quella che funziona.
Hai suggerimenti???

Ho provato ad accedere via telnet al router e nonostante abbia applicato l'ACL da te segnalata nel thread-how to, posso accedere ugualmente.

Le ACL per il filtraggio dei pacchetti, tipo quella del telnet e quella dell'ftp vanno applicate a Dialer o ATM0???

Grazie e scusa se ti rompo ma sono alle primissime armi con cisco.
Ciao

[TheIrish]

Nessun problema
La vera difficoltà con la stesura di policy di sicurezza è che è sempre difficile avere una visione totale della situazione.
Le acl vanno applicate al Dialer.
Ora che hai fatto le modifiche, puoi ripostare la conf aggiornata?
Per quanto riguarda ftp, fai attenzione che il server o il client non chiedano esclusivamente la modalità passiva.
Un'ultima cosa, come esegui il test per vedere se ftp funziona?

[whites07]

Per l'ftp: il client è impostato in modo da non usare pasv mode e il server idem.
Per i test li faccio con il client (a volte filezilla, a volte il prompt di dos o una console linux) e tentando l'accesso all'ftp server attraverso il suo nome alfanumerico associato ad un dynamic dns, la risoluzione dell'indirizzo è ok xchè se provo a pingare tale indirizzo mi risponde il router

Ti posto la config agg. ho provato anche ad aprire le porte 20 e 21 per lo udp, anche se non sono sicuro che servano xchè in rete ho trovato che per i linksys consigliavano di permettere il passaggio ad entrambi i tipi di protocollo di trasporto.
Aggiungo che il server ftp interno del router è off, almeno credo dato che ho provato e non risponde.

Ultima domanda: dato che l'ordine delle ACL è importante e che se ne aggiungo una nuova ad un gruppo esistente viene aggiunta in fondo, sai se esiste il modo di metterla in cima alla lista?

Grazie
Ciao

[TheIrish]

Per i test li faccio con il client (a volte filezilla, a volte il prompt di dos o una console linux) e tentando l'accesso all'ftp server attraverso il suo nome alfanumerico associato ad un dynamic dns, la risoluzione dell'indirizzo è ok xchè se provo a pingare tale indirizzo mi risponde il router

Forse ho capito il tuo problema. E' quello che definirei un classico. Immagino che le prove per verificare la funzionalità del tuo server FTP, tu le abbia fatte da un PC interno alla tua LAN. Bene, non funzionerà mai, ammeno che tu non adotti qualche espediente. Dall'esterno, invece, la cosa funziona bella e tranquilla! Quindi per verificare che la cosa funzioni, ho trovi un proxy mascheratore e lo usi come relay, o dovrai provare con un'altra utenza internet (vedi un amico, o un internet point).
Nelle numbered ACL purtroppo la versatilità di manipolazione delle istruzioni è pari a ZERO. Un alternative sono le named ACL...

[whites07]

Mi inchino alla tua cisco-saggezza, avevi ragione, anche se non ho capito bene il pb...sarà l'intelligenza superiore delle macchine cisco rispetto ai ferracci che usano i comuni mortali xchè con il vecchio USR il trucco funzionava... evidentemente il router mandava ugualemente sulla internet le richieste destinate al suo ip pubblico che poi gli venivano rimandate indietro, forse...ma non so!!!
Bene adesso che ho rimesso operative le cose essenziali cerco un bel manuale di sicurezza, hai qualcosa da consigliare, non di livello basso basso, sono un ing in tlc qcosa di reti a livello teorico la so, anche se non mi sono occupato strettamente di reti IP...almeno per il momento.
Ciao e grazie...alla prossimo pb!!!

[MrCisco]

Il motivo per cui i da dentro una LAN non puoi accedere ad un server interno tramite l'ip pubblico è legato alla struttura del NAT.
Se sei curioso, puoi dare un'occhiata a questo post: http://www.ciscoforums.it/viewtopic.php?t=33

Per la sicurezza, la miglior fonte che conosco è l'irish