Ho fatto bene?

[mgaggia]

Sto configurando un 857W. Il mio intento è quello di bloccare TUTTO in ingresso e lasciare uscire tutto. Per ora non mi interessa che vengano loggati i pacchetti o cose varie... partiamo con le cose semplici.
Seguendo le indicazioni del forum ho fatto il tutto. La navigazione funziona. Mi direste cortesemente se va tutto bene per quanto riguarda le ACL?
1000 grazie

-------------------------------------
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
crypto pki trustpoint TP-self-signed-2249262054
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2249262054
revocation-check none
rsakeypair TP-self-signed-2249262054
!
!
crypto pki certificate chain TP-self-signed-2249262054
certificate self-signed 01
3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 .....
...
quit
username nicola privilege 15 password 7 082F454D061504
!
!
!
!
!
interface ATM0
no ip address
ip virtual-reassembly
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$
ip access-group 106 in
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 192.168.254.252 255.255.255.0
ip access-group 105 in
ip nat inside
ip virtual-reassembly
!
interface Dialer0
no ip address
!
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname mgaggia
ppp chap password 7 04560C070826454F08150C1417
ppp pap sent-username mgaggia password 7 060B08204B490018041B1B0809
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 192.168.254.0 0.0.0.255
access-list 105 remark
access-list 105 permit ip any any
access-list 106 remark
access-list 106 deny ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

[Wizard]

Se fossi in te abiliterei l'ip inspect almeno su tcp ed udp ed elimina la acl in uscita.

[mgaggia]

Se fossi in te abiliterei l'ip inspect almeno su tcp ed udp ed elimina la acl in uscita.

Questo mi fa pensare che in ogni caso quello che ho fatto va bene giusto?
Sono nuovo coi cisco...
L'inspect... mmm... è il verificare i pacchetti che passano vero? Il logginng giusto? Mi daresti cortesemente un topic qui sul forum dove viene descritto il tutto (tanto per capire come funziona)

Per quanto riguarda l'acl out... è chiaro che impostata a passa tutto si può anche togliere... ma vorrei capire se ho fatto bene quello che volevo fare, tanto per vedere se ho capito. Se la lasciassi cosa comporterebbe? Immagino solo un microrallentamento dei pacchetti giusto?

Grazie Mauro

[Wizard]

L'ip inspect non è il logging ma l'ids del ios firewall.
Di solito si imposta l' ip inspect in uscita poi si chiude in entrata.
Per l'ip inspect:


ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect one-minute high 500
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 0
ip inspect hashtable 2048
ip inspect name IDS-OUT tcp
ip inspect name IDS-OUT udp

(config)#interface vlan 1
(config-subif)# ip inspect IDS-OUT in

[mgaggia]

L'ip inspect non è il logging ma l'ids del ios firewall.

Azz... quasi arabo...
ios del firewall = firmware del firewall giusto?
ids che cristo è??

ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect one-minute high 500
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 0
ip inspect hashtable 2048
ip inspect name IDS-OUT tcp
ip inspect name IDS-OUT udp

A parte il fatto che di questa roba non ci capisco un'H (devo studiarla...) vedo che assegni l'inspect sia al tcp che all'udp però nei comendi sopra ci sono due comandi per il tcp

ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 0

ma nemmeno uno per l'udp

E' corretto?
Butto dentro questi comandi ad occhi chiusi e poi studierò cosa servono?

Grazie per il tuo aiuto.
Mauro

[emanuele.ciani]

Se mi posso permettere

L'inspect abilita nel router un firewall statefull quindi non fa altro che tener traccia dei pacchetti uscenti dalla tua rete e aprire un bucanino per il ritono ...
nel tuo caso controlli i protocolli tcp e udp ricordati che se devi usare protocolli particolari es ftp .. devi dire al router di ispezionare anche il traffico FTP e poi ..............

Lasci a te leggerti qualche doc su cisco.com riferito al CBAC

Ciao