Salve Ragazzi
Questo e una delle prime volte che scrivo spero di non essere fuori tema.
E da un paio di mesi che mi sono perso nel mondo dei balocchi CISCOLANDIA!
Sto provando un po di configurazioni ad hoc per il mio routerino 837.
Segue sh
Cisco C837 (MPC857DSL) processor (revision 0x500) with 44237K/4915K bytes of memory.
Processor board ID AMB083004RZ (4281897981), with hardware revision 0000
Sto cercando di implementare l’utilizzo delle regole di firewalling per la protezione della rete.
Ho creato due acl una per il traffico in ingresso e una per il traffico in uscita che dovrà generare una acl riflessa per il traffico in ingresso.
Ipv4in acl traffico in ingresso
Ipv4uot acle traffico in uscita
R_ipv4in acl riflessa creata dalla ipv4uot per poter permettere il trafico entrante su richiesta interna.
Le sopra indicate acl sono legate al router con seguente configurazione
interface Dialer1
ip address negotiated previous
ip access-group ipv4in in
ip access-group ipv4out out
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ipv6 unnumbered Loopback1
priority-group 1
no cdp enable
end
le acl in questione sono configurate in seguente modo
Extended IP access list ipv4in
1 evaluate r_ivp4in
10 permit tcp any any established (4497 matches)
100 permit ip host 85.44.88.230 any (1642 matches)
110 permit tcp any any eq www ftp 443 8080 (5 matches)
111 permit tcp any any eq 22
120 permit 41 any any
130 permit tcp any any eq 1723 47 (34 matches)
131 permit gre any any (470 matches)
200 permit tcp any any eq 3389
210 permit tcp any any range 6881 6889
240 permit tcp any any range 5000 5003
250 permit tcp any any eq 4662 (12 matches)
260 permit udp any any eq 4672
Extended IP access list ipv4out
1 permit icmp any any reflect r_ivp4in
2 permit udp any any eq domain reflect r_ivp4in
1000 permit ip any any (70 matches)
Reflexive IP access list r_ivp4in
ip reflexive-list timeout 5
I miei dubbi sono :
perche il ping e il traceroute da dentro al router non funzionano (proprio non me lo spiego anche usando un source adress che deve essere natato eth0)
Translating "www.google.it"...domain server (151.99.125.2) (151.99.125.3)
Translating "www.google.it"...domain server (151.99.125.2) (151.99.125.3)
Translating "www.google.it"...domain server (151.99.125.2) (151.99.125.3)
Translating "www.google.it"...domain server (151.99.125.2) (151.99.125.3)
perche da un host interno mi funziona il ping ma non mi funziona il traceroute ( tutto il resto funziona dns e navigazione)
C:\>ping www.google.it
Esecuzione di Ping www.l.google.com [66.249.85.99] con 32 byte di dati:
Risposta da 66.249.85.99: byte=32 durata=98ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=91ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=95ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=95ms TTL=243
Statistiche Ping per 66.249.85.99:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 91ms, Massimo = 98ms, Medio = 94ms
C:\>tracert www.google.it
Rilevazione instradamento verso www.l.google.com [66.249.85.104]
su un massimo di 30 punti di passaggio:
1 1 ms 1 ms 1 ms 192.168.16.254
2 * * * Richiesta scaduta.
3 * ^C
con il ping la lista riflessa si popola bene es. di ping vs google:
Reflexive IP access list r_ivp4in
permit icmp host 66.249.85.99 host 82.54.167.189 (11 matches) (time left 3)
permit udp host 151.99.125.2 eq domain host 82.54.167.189 eq 1197 (6 matches) (time left 0)
Vi ringrazio dell’attenzione e chiedo umilmente scusa per qualche possibile sfondone.
Cordiali Saluti
Vostro Under
Utilizzo delle acl reflective help
Moderatore: Federico.Lagni
-
Undertacker
- n00b
- Messaggi: 9
- Iscritto il: gio 08 set , 2005 11:54 am
Sempre io il Rompino
rettifica al paragrafo precedente:
in teoria funziona anche il tracert ma l'unico ip permesso e quello finale della destinazione
per questo ho solo la risposta da parte di google e non quelle intermedie.
C:\>tracert www.google.it
Rilevazione instradamento verso www.l.google.com [66.249.85.104]
su un massimo di 30 punti di passaggio:
1 1 ms 1 ms 1 ms 192.168.16.254
2 * * * Richiesta scaduta.
3 * * * Richiesta scaduta.
4 * * * Richiesta scaduta.
5 * * * Richiesta scaduta.
6 * * * Richiesta scaduta.
7 * * * Richiesta scaduta.
8 * * * Richiesta scaduta.
9 * * * Richiesta scaduta.
10 187 ms 172 ms 167 ms 66.249.85.104
Rilevazione completata.
C:\>
VERAMENTE CARINO VERO (rabbia orba)
anche la lista di riflesso si popola bene ma solo con io di destinazione
Reflexive IP access list r_ipv4in
permit icmp host 66.249.85.104 host 87.3.38.70 (1 match) (time left 2)
permit udp host 151.99.125.2 eq domain host 87.3.38.70 eq 1197 (6 matches) (time left 1)
mi rimane solo da capire perché la lista ipv4out nella interfaccia dialer 1 ip access-group ipv4out out, non venga attraversata o presa in considerazione quando si fa una richiesta da dentro al router verso l'esterno.
Saluti Under
rettifica al paragrafo precedente:
perché da un host interno mi funziona il ping ma non mi funziona il traceroute ( tutto il resto funziona dns e navigazione)
C:\>ping www.google.it
Esecuzione di Ping www.l.google.com [66.249.85.99] con 32 byte di dati:
Risposta da 66.249.85.99: byte=32 durata=98ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=91ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=95ms TTL=243
Risposta da 66.249.85.99: byte=32 durata=95ms TTL=243
Statistiche Ping per 66.249.85.99:
Pacchetti: Trasmessi = 4, Ricevuti = 4, Persi = 0 (0% persi),
Tempo approssimativo percorsi andata/ritorno in millisecondi:
Minimo = 91ms, Massimo = 98ms, Medio = 94ms
C:\>tracert www.google.it
Rilevazione instradamento verso www.l.google.com [66.249.85.104]
su un massimo di 30 punti di passaggio:
1 1 ms 1 ms 1 ms 192.168.16.254
2 * * * Richiesta scaduta.
3 * ^C
in teoria funziona anche il tracert ma l'unico ip permesso e quello finale della destinazione
per questo ho solo la risposta da parte di google e non quelle intermedie.
C:\>tracert www.google.it
Rilevazione instradamento verso www.l.google.com [66.249.85.104]
su un massimo di 30 punti di passaggio:
1 1 ms 1 ms 1 ms 192.168.16.254
2 * * * Richiesta scaduta.
3 * * * Richiesta scaduta.
4 * * * Richiesta scaduta.
5 * * * Richiesta scaduta.
6 * * * Richiesta scaduta.
7 * * * Richiesta scaduta.
8 * * * Richiesta scaduta.
9 * * * Richiesta scaduta.
10 187 ms 172 ms 167 ms 66.249.85.104
Rilevazione completata.
C:\>
VERAMENTE CARINO VERO (rabbia orba)
anche la lista di riflesso si popola bene ma solo con io di destinazione
Reflexive IP access list r_ipv4in
permit icmp host 66.249.85.104 host 87.3.38.70 (1 match) (time left 2)
permit udp host 151.99.125.2 eq domain host 87.3.38.70 eq 1197 (6 matches) (time left 1)
mi rimane solo da capire perché la lista ipv4out nella interfaccia dialer 1 ip access-group ipv4out out, non venga attraversata o presa in considerazione quando si fa una richiesta da dentro al router verso l'esterno.
Saluti Under
