la mia config è sicura?

ghira · lun 06 giu , 2011 10:07 am

dove/come stai usando i tuoi access-list ?

Jyonny · lun 06 giu , 2011 10:32 am

Ciao ghira,
adesso ho tolto tutti gli access-list che avevo, voglio capire perchè dagli host non riesco ad inviare pacchetti, non mi risolve i traceroute.

(il problema è in uscita, non in entrata)

Gli unici access-list che sto usando ora sono questi:
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit

Ecco la config precisa:

!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$FsEK$vYhPPJ4yUYoUTN4.Xh2Y8.
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1671754495
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1671754495
revocation-check none
rsakeypair TP-self-signed-1671754495
!
!
crypto pki certificate chain TP-self-signed-1671754495
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363731 37353434 3935301E 170D3032 30333031 30343231
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36373137
35343439 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
81009A4D 67DA1FF2 3F15B124 5ACAC2D4 65F78F74 06F79853 A75EABC8 D49AAA13
2D02A86C 5AD701E3 7C71E19C 413F70E8 A5B326A3 FEED33A6 0A0864BE BC680BE4
974D39DC 4773CC86 EF3CA519 3AA80110 F245D635 80B3E839 57093762 3DBDB227
3DB08AD8 B703CA1A 5FA44B2D 09E55114 A5585E46 D48C31D8 363C405C 9AA9F0A1
FA590203 010001A3 75307330 0F060355 1D130101 FF040530 030101FF 30200603
551D1104 19301782 15526F75 7465722E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801496 7C1EB06E E5F7EEDF 132DDDC6 FDCB218D B5F10C30
1D060355 1D0E0416 0414967C 1EB06EE5 F7EEDF13 2DDDC6FD CB218DB5 F10C300D
06092A86 4886F70D 01010405 00038181 006ABEA9 2D4D5B8B 1E25ED0C 500539E1
FCBB5DE6 15ED2521 0804891C B30D2C57 D1FA3821 12815836 72F62302 0C37FD32
505089CD 93E1C4DB 61E52877 87768D72 4BCCDDE5 8BEB648B 5650191B 257FF0F2
D1DE4BAC 5728526C 165D48E4 C30F76AC B6706C8D F2201923 C0D970F8 71A47ECB
37EFD411 0CD3C07D D1116473 6BF58213 8C
quit
dot11 syslog
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
!
ip dhcp pool ccp-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 151.99.125.1 151.99.0.100
default-router 192.168.1.1
!
!
no ip bootp server
ip domain name yourdomain.com
ip name-server 151.99.125.1
ip name-server 151.99.0.100
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$YysX$9ryfjEwq7ihllUewAae0
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname myusername
ppp chap password 7 mypass
ppp pap sent-username myusername password 7 mypass
!
ip default-gateway TheGatewayOfMyAdslCompany
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you
want to use.

-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

ghira · lun 06 giu , 2011 10:39 am

Jyonny ha scritto:Ciao ghira,
adesso ho tolto tutti gli access-list che avevo, voglio capire perchè dagli host non riesco ad inviare pacchetti, non mi risolve i traceroute.

access-list che avevi _dove_?

vedevo access list definiti ma non usati.

o magari non ho visto dove erano usati.

Jyonny · lun 06 giu , 2011 10:49 am

Ricapitolando...
Inizialmente avevo messo degli access list.
L'unico che mi serviva, e che utilizzavo era il
access-list 100 permit tcp any any eq 12000 (mi serviva per aprire la porta tcp 12000)

e avevo fatto il nat inside source....
In quel modo funzionava e la porta 12000 era aperta e dall'esterno ero raggiungibile

Tutti gli altri access list non li utilizzavo, erano inutili.

Poi, su tuo consiglio,
avevo messo i permit riferiti a

interface Dialer0
ip access-group IOS_FW

Ora ho tolto tutto, perchè credo che il problema non è l'accesso dall'esterno.
Ma l'esatto contrario... Gli host non escono.

Ti ho mandato un messaggio privato ghira, anche se sta ancora in "Messaggi in uscita"

ghira · lun 06 giu , 2011 10:56 am

Jyonny ha scritto:Ricapitolando...
Inizialmente avevo messo degli access list.
L'unico che mi serviva, e che utilizzavo era il
access-list 100 permit tcp any any eq 12000 (mi serviva per aprire la porta tcp 12000)

ma dove _usavi_ l'access-list?

Jyonny · lun 06 giu , 2011 11:03 am

Facciamo una cosa, ci sentiamo stasera su skype se ci sei?

Scusa la mia ignoranza... Perchè non so cosa vuol dire.. "dove usavo l'access-list?"
Gli access list... non sono solo permessi in entrata?

Da quel poco che ho letto in rete, pensavo semplicemente che l'access list fosse una lista di criteri / permessi di accesso.
Probabilmente c'ho capito poco o niente...

Comunque la mia attuale configurazione è quella ultima che ti ho inviato e il problema ce l'ho in uscita.
Pensi possa dipendere dagli access-list?

La connessione dovrebbe essere ok, infatti il traceroute dal router è ok.
Ma il traceroute dagli host non lo risolve.

Credevo che questo problema non avesse niente a che fare con gli access-list.

Jyonny · lun 06 giu , 2011 11:10 am

Ma non è che sotto la interfaccia Vlan1 dovrei mettere ad esempio
ip access-group 100 out

e poi mettere

access-list 100 permit ip any any

???

In questo modo userei l'access list per aprire in uscita?

ghira · lun 06 giu , 2011 11:20 am

Jyonny ha scritto:Ma non è che sotto la interfaccia Vlan1 dovrei mettere ad esempio
ip access-group 100 out

e poi mettere

access-list 100 permit ip any any

???

In questo modo userei l'access list per aprire in uscita?

per default, tutto e' permesso.

Jyonny · lun 06 giu , 2011 1:17 pm

Nel frattempo ho lanciato i comandi che mi dicevi prima:

Router#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - c062.6b00.514e ARPA Vlan1
Internet 192.168.1.50 41 0009.3428.63a1 ARPA Vlan1
Internet 192.168.1.101 0 c82a.1412.5687 ARPA Vlan1

Router#show mac-address-table
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0009.3428.63a1 Dynamic 1 FastEthernet0
c062.6b00.514e Self 1 Vlan1
c82a.1412.5687 Dynamic 1 FastEthernet1

Router#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.1.101 01c8.2a14.1256.87 Mar 02 2002 05:43 AM Automatic

ghira · lun 06 giu , 2011 8:01 pm

Jyonny ha scritto: ip nat inside source static tcp 192.168.1.50 23 mioIpStatico 666 extendable
ip nat inside source static tcp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static udp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static tcp 192.168.1.50 14000 mioIpStatico 14000 extendable
ip nat inside source static tcp 192.168.1.50 15000 mioIpStatico 15000 extendable
ip nat inside source static udp 192.168.1.50 15000 mioIpStatico 15000 extendable
ip nat inside source static tcp 192.168.1.50 15001 mioIpStatico 15001 extendable
ip nat inside source static tcp 192.168.1.50 15002 mioIpStatico 15002 extendable
ip nat inside source static udp 192.168.1.50 15002 mioIpStatico 15002 extendable
ip nat inside source static tcp 192.168.1.50 34000 mioIpStatico 34000 extendable
ip nat inside source static tcp 192.168.1.50 34001 mioIpStatico 34001 extendable

e 11011?

Jyonny · mar 07 giu , 2011 11:23 am

Ciao, il 11011 non serve, perchè non serve aprire dall'esterno la mia 11011 (quella è la porta di arrivo del pc destinatario, non del mio).

L'unica che servirebbe è la 12000, ovvero:
ip nat inside source static tcp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static udp 192.168.1.50 12000 mioIpStatico 12000 extendable

Tutte le altre non le uso.

ghira · mar 07 giu , 2011 11:39 am

Jyonny ha scritto:Ciao, il 11011 non serve, perchè non serve aprire dall'esterno la mia 11011 (quella è la porta di arrivo del pc destinatario, non del mio).

L'unica che servirebbe è la 12000, ovvero:
ip nat inside source static tcp 192.168.1.50 12000 mioIpStatico 12000 extendable
ip nat inside source static udp 192.168.1.50 12000 mioIpStatico 12000 extendable

Tutte le altre non le uso.

cercando "dreambox nat" trovo riferimenti a tcp 4662, udp 4672, e altre cose ancora.

questo 12000 da dove viene?

Jyonny · mar 07 giu , 2011 11:51 am

Ciao!
Dipende dalle impostazioni, il mio è tcp e udp 12000

ghira · mar 07 giu , 2011 11:56 am

quando metti ip inspect sul tuo computer invece di "deny ip any any"
alla fine metti "deny ip any any log"

e metti anche ip inspect log drop-pkt

la mia config è sicura?

Login • Iscriviti