Il router CISCO risponde al posto del webserver

[fcaponi]

Salve a tutti, ho una questione da sottomettere:
Ho configurato un CISCO 827 come router ADSL, mettendo a disposizione su internet i seguenti servizi tramite NAT: server Web, server FTP, server SMTP/POP3.

Tutti i servizi sono funzionanti quando raggiunti da un computer esterno alla LAN, mentre dai computer della LAN risponde direttamente il router alle risposte (sembra non eseguire il NAT).

Ad esempio se dal browser punto l'indirizzo IP esterno per testare il webserver aziendale, risponde la funzionalità di setup del ruoter via web (CRWS)!

Potete aiutarmi a comprendere cosa succede???

Franco

[fcaponi]

Eccoli qui...

[andrewp]

Lo "sh run" è illegibile, comunque, dagli un:

no ip http server


Ciao.

[Renato.Efrati]

daglio un no ip http-server
che e' meglio

[fcaponi]

Ma il no ip http server già c'è!!!

Comunque il problema non è relativo al solo http server, ma a tutti i servizi che ho configurato (stmp, pop, ftp).

In pratica se dall'interno provo ad accedere ad un qualsiasi servizio tramite il nome registrato nei DNS internet non funziona!
Provando con il servizio web e vedendo che risponde il CRWS ho dedotto che il NAT non stesse funzionando, ma non ne sono sicuro.

Come posso indagare sul problema?

[Renato.Efrati]

posta lo sh run scrivilo cm reply

[fcaponi]

Ok...

[code]
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router_admin
!
boot-start-marker
boot-end-marker
!
logging buffered informational
enable secret 5 $1$RLfZ$dslòkòlsdfòlaskf/
!
username router_admin password 7 00261333333333333345E0258
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.0.0.12
!
!
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:10.0.0.10-255.255.255.0
ip address 10.0.0.10 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xx.xx.xx.xx 255.255.255.0
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
no ip http secure-server
!
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static tcp 10.0.0.12 80 interface ATM0.1 80
ip nat inside source static tcp 10.0.0.12 20 interface ATM0.1 20
ip nat inside source static tcp 10.0.0.12 21 interface ATM0.1 21
ip nat inside source static tcp 10.0.0.12 110 interface ATM0.1 110
ip nat inside source static tcp 10.0.0.12 25 interface ATM0.1 25
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.0.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq pop3
access-list 111 permit tcp any any eq smtp
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end[/code]

[TheIrish]

Tutti i servizi sono funzionanti quando raggiunti da un computer esterno alla LAN, mentre dai computer della LAN risponde direttamente il router alle risposte (sembra non eseguire il NAT).

Scusate, ma a me sembra perfettamente normale. Guardatela dal punto di vista del router. Per lui quel traffico è spoof, potete biasimarlo?
Puoi creare un DNS interno oppure agire direttamente sul resolving delle singole macchine, ma altrimenti il router non te lo permetterà di certo.
Workaround a questo non ne conosco (ma non è detto che non ci siano).

[fcaponi]

Non riesco a capire, qualcuno mi può spiegare?

Io voglio collegarmi dal mio PC, es. 10.0.0.20, al mio ip pubblico 125.125.125.125 sulla porta 80.

Il router (in maniera trasparente) dovrebbe traslare/tradurre/nattare/rewritare nell'indirizzo reale 10.0.0.22 (pc interno che ospita il server).... qual è l'errore???

Scusate ma le mie magre conoscenze dell'argomento non mi permettono di capire

Prima del CISCO avevamo in rete un'altro ruoter 3COM configurato alla stessa maniera e non dava nessun problema!!!

[TheIrish]

Il router (in maniera trasparente) dovrebbe traslare/tradurre/nattare/rewritare nell'indirizzo reale 10.0.0.22 (pc interno che ospita il server).... qual è l'errore???

L'errore è che il NAT da fuori a dentro ha successo, da fuori a dentro ha successo, da dentro a dentro non ha successo. Questo è legato alla struttura bifasica del NAT. Guarda dove sono posizionate le istruioni ip nat inside e ip nat outside... sulle interfacce.
Ora, quando tu richiedi di accedere al web server utilizando l'indirizzo ip esterno, una richiesta parte dal client (diciamo 192.168.0.10) ed entra nel router. La traduzione non è ancora avvenuta. Il router sa che la sua destinazione è l'interfaccia WAN (diciamo 80.80.80.80), così inoltra i dati in quella direione.
Qui avviene il NAT outside e 192.168.0.10 viene tradotto in 80.80.80.80.Ora ammettendo che il router sia in grado di reinoltrare i dati all'interno (non sono sicuro che in una situazione del genere ci riesca), si troverebbe una richiesta che viene dall'esterno (perché quella è la sua impressione) che proviene da un indirizzo che è LO STESSO dell'interfaccia.

Prima del CISCO avevamo in rete un'altro ruoter 3COM configurato alla stessa maniera e non dava nessun problema!!!

Le possibilità sono due:
1. hanno un sistema di NAT che internamente funziona ad una fase
2. ignorano in toto lo spoofing
In entrambi i casi, sono difetti, non pregi

[fcaponi]

Ok, penso che l'unica soluzione che mi rimane sia modificare il dns interno per puntare direttamente alle macchine, anche se non so come realizzare il PAT!

Mi consigliate invece una buona configurazione del firewall, sapendo:
1) Devono essere messi a disposizione di internet i seguenti servizi: FTP, POP3 e SMTP e WEB? Penso che il NAT configurato vada bene... on no?
2) Vorrei inoltre limitare le risorse internet utilizzabili dalle macchine interna al massimo: FTP, SSH, WEB e DNS (STMP e POP3 solo dal mail server)

Mi aiutate?

[TheIrish]

) Devono essere messi a disposizione di internet i seguenti servizi: FTP, POP3 e SMTP e WEB? Penso che il NAT configurato vada bene... on no?

Il NAT non è un firewall sebbene possa dare una falsa impressione di sicurezza. La regola dice che bisogna immaginarsi la rete come se le macchine fossero tutte liberamente accessibili da internet.

2) Vorrei inoltre limitare le risorse internet utilizzabili dalle macchine interna al massimo: FTP, SSH, WEB e DNS (STMP e POP3 solo dal mail server)

Sì, direi che è un buon proposito.
Potrei cominciare a darti suggerimenti, ma se permetti, io ti rimanderei ad un articoletto sulle ACL che ho scritto nell'IT-Blog. Dai un'occhiata a quello, quindi se hai dei dubbi (oppure sono stato troppo crittico), continua questo thread e ne discutiamo.

[fcaponi]

Ok grazie mille della pazienza!

Adesso mi studio per bene l'articolo, provo a definire una strategia e poi magari vi mando in revisione le ACL!