Fastweb -- 1751+switch

steus · sab 29 set , 2007 2:02 am

salve a tutti, avrei bisogno di un paio di consigli per creare la mia rete casalinga.
ecco lo schema che vorrei adottare:

hag--router--switch--pc

questa è la configurazione del router (equipaggiato con wic-1enet)

Codice: Seleziona tutto

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router-casa
!
boot-start-marker
boot-end-marker
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!

ip dhcp pool LOCAL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 1.253.128.10 1.253.128.35
! 
interface FastEthernet0/0
description "Collegamento allo switch"
ip address 192.168.1.254 255.255.255.0
ip nat outside
speed auto
full-duplex
!
interface Ethernet0/0
description "Collegamento all'HAg"
ip address 1.52.21.xx
ip nat inside
speed auto
full-duplex
!
ip nat inside source static tcp 192.168.1.254 4662 0.0.0.0 4662 extendable
ip nat inside source static udp 192.168.1.254 4672 0.0.0.0 4672 extendable
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 1.52.21.x
!
!
!
!
line con 0
line aux 0
line vty 0 4
line vty 5 15
!
!
end

sono abbastanza novizio con queste cose. secondo voi è tutto ok?
grazie mille

steus · sab 29 set , 2007 7:00 pm

a chi interessasse, sono arrivato a questa conf funzionante:

Codice: Seleziona tutto

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router-casa
!
boot-start-marker
boot-end-marker
!
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
!
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool LOCAL
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.254 
   dns-server 1.253.128.10 1.253.128.35 
!
!
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!         
!
!
interface Ethernet0/0
 description "Collegamento allo switch"
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 half-duplex
!
interface FastEthernet0/0
 description "Collegamento all'HAg"
 ip address 1.52.21.xx 255.255.255.0
 ip nat outside
 speed auto
 full-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 1.52.21.1
!
no ip http server
ip nat inside source list 101 interface FastEthernet0/0 overload
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!         
control-plane
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 exec-timeout 5 0
 password xxxx
 login local
 transport preferred none
 transport input telnet
line vty 5 15
 exec-timeout 5 0
 password xxxx
 login local
 transport preferred none
 transport input telnet
!
end

secondo voi posso migliorarla in qualcosa?
grazzie

Wizard · dom 30 set , 2007 1:05 pm

Se la ios lo supporta un minimo di firewall...

delosfast · ven 19 ott , 2007 11:45 am

ho una configurazione simile...che consigli per cominciare a livello di firewall?

Wizard · ven 19 ott , 2007 12:05 pm

Cioè non pubblichi nessun servizio?
In questo caso:
- acl in entrata
- ip inspect su tcp - udp - icmp in uscita
- magari ips su dos e ddos

I primi 2 però obbligatorio!

delosfast · ven 19 ott , 2007 12:22 pm

tempo fa avevo messo un webserver (che sto risistemando) ed accedo con vnc su un pc.

la prima c'è...le altre due non so cosa siano

vorrei usare anche ssh invece del telenet ma non sono mai riuscito.

ps: il router è su un soppalco e non ha cavo console

Wizard · dom 21 ott , 2007 12:28 pm

Non serve la console, basta accedere in telnet e sapere unser e pass...
Per ssh si può fare anche quello.

delosfast · dom 21 ott , 2007 5:07 pm

certo ora lo uso così...te lo dicevo per metterti in guardia del mio livello...l'ultima volta che ho provato a modificare la classe interna ho dovuto staccare l'interruttore generale per resettarlo

Wizard · lun 22 ott , 2007 9:07 am

Abilitazione servizio ssh server:

Codice: Seleziona tutto

hostname ***
ip domain name cisco.com
crypto key generate rsa
ip ssh logging events
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 3

delosfast · lun 22 ott , 2007 9:40 am

grazie mille,
sul vty non devo modificare nulla?

Codice: Seleziona tutto

line vty 0 4
 session-timeout 35000 
 access-class 2 in
 exec-timeout 1440 0
 password 7 xxxxxxxxx
 logging synchronous
 login local
 transport preferred none
 transport input telnet

Wizard · lun 22 ott , 2007 10:05 am

Codice: Seleziona tutto

line con 0
 login local
 no modem enable
 transport output ssh
 stopbits 1

line aux 0
 login local
 transport output ssh

line vty 0 4
 exec-timeout 0 0
 timeout login response 30
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh

delosfast · lun 22 ott , 2007 10:23 am

sia con SSH1 che 2 mi da questo errore

Wizard · lun 22 ott , 2007 10:27 am

Nelle acl in ingresso la porta tcp 22 è aperta?

delosfast · lun 22 ott , 2007 10:41 am

ecco tutta l'access-list 2

Codice: Seleziona tutto

access-list 2 permit 192.168.7.101

ecco l'output dopo aver inserito le righe che mi hai passato

Codice: Seleziona tutto

line vty 0 4
 session-timeout 35000 
 access-class 2 in
 exec-timeout 0 0
 password 7 xxxxxxx
 logging synchronous
 login local
 transport preferred none
 transport input telnet ssh
 transport output telnet ssh

ho provato anche con

Codice: Seleziona tutto

transport preferred ssh

ma niente

jbg70 · lun 22 ott , 2007 4:28 pm

Ma il 192.168.7.101 e' il pc dal quale usi il client ssh?
Perche' da come e' scritta la acl l'unico host che puo' accedere via ssh e' il 192.168.7.101.

Saluti.

*ps prova putty come client ssh o telnet... da un po' a questa parte supporta anche la seriale.

Fastweb -- 1751+switch

Login • Iscriviti