chiarimento sul port forwarding

[davidebonetti]

ho compilato la configurazione che allego scopiazzando qua e la e leggendo in giro per adattarla alle mie necessità; funziona tutto però non riesco a girare la porta UPD 5353 su 192.168.99.250, che serve ad emule... infatti mi fallisce il test della porta UDP e non si collega alla rete KAD.

credo sia un problema di firewall oppure non è girata nel modo corretto ma non riesco a trovare l'errore, chiedo gentilmente aiuto.

inoltre chiedo se qualcuno "perde tempo" un attimo a spiegarmi bene come funziona il firewall della mia configurazione e le access list, perchè gran parte ho copiato (vergogna...)... per un utilizzo casalingo io vorrei che tutto possa uscire dalla LAN verso la WAN, mentre dalla WAN verso l'interno deve essere tutto bloccato, tranne i servizi necessari per navigare e le porte specifiche che voglio girare io...

[Rizio]

Ma se togli l'access-list all'interfaccia BVI dopo funziona?
Perchè l'unica cosa che vedo è che ti manca l'apertura delle porte relative a quell'host.
Per il resto non sò cosa dirti riguardo alle acl perchè bisognerebbe capire tu cosa vuoi fare e che tipo di rete hai.

Rizio

[davidebonetti]

scusa ma allora non ho capito un piffero di come si aprono/girano le porte... non dovrebbero essere queste quattro righe?

ip nat inside source static tcp 192.168.99.250 5151 interface Dialer0 5151
ip nat inside source static udp 192.168.99.250 5353 interface Dialer0 5353

e

access-list 101 permit tcp any any eq 5151
access-list 101 permit udp any any eq 5353

tra l'altro la TCP 5151 in ingresso funziona correttamente quindi se fosse come dici tu non dovrebbe essere sigillata anche quella?

per il resto ho una rete a casa con alcuni computer, iphone, ipad, stampante, nulla di che (192.168.99.x) poi in laboratorio c'è un router wifi che ha come WAN 192.168.99.251 e come LAN 192.168.111.x

vorrei che le due LAN fossero completamente libere fra di loro e verso internet.... mentre dall'esterno deve essere tutto chiuso tranne ciò che mi serve, quindi direi navigazione, posta, e specifici servizi (vedi le due porte per emule...)...

GRAZIE

[Rizio]

Non mi hai detto se poi funziona togliendo l'acl 102.
Perchè se funziona allora è come penso e devi solo replicare la riga relativa all'acl 101 nell'acl 102, perchè tu esci dalla vlan1 che è in bridge con la BVI su cui hai un'altra acl.

In ogni caso molti deny che hai messo in coda alle acl sono superflui perchè la policy di default delle acl è deny, verifica pure.
Rizio

P.S. utile ma non (ancora) indispensabile aprire anche la TCP sulla 53 per i dns perchè da quando i root dns hanno implementato i servizi "sicuri" (non ricordo ora la definizione esatta e non ho voglia di essere pignolo ed andarla a cercare) hanno cominciato ad usare anche TCP per le query DNS perchè i pacchetti erano troppo grossi per l'UDP.

[davidebonetti]

Non mi hai detto se poi funziona togliendo l'acl 102.
Perchè se funziona allora è come penso e devi solo replicare la riga relativa all'acl 101 nell'acl 102, perchè tu esci dalla vlan1 che è in bridge con la BVI su cui hai un'altra acl.

ora provo subito, ma porca miseria quanto mi sento ignorante... che diavolo è la BVI? perchè i router domestici sono così facili da configurare piuttosto dei Cisco?

[davidebonetti]

ho dato il comando "no access-list 102" e comunque non funziona, nel senso che emule non si collega alla rete KAD. non capisco.

quello che è veramente strano è che funzionava tutto prima che tentassi delle modifiche per la VPN... poi ho tolto queste modifiche, ribadisco relative alla sola VPN e ora non funziona più...

[davidebonetti]

ora provo, ma togliendo SOLO la 101 oppure entrambe? non è che mi precludono la navigazione?

[Rizio]

ora provo subito, ma porca miseria quanto mi sento ignorante... che diavolo è la BVI? perchè i router domestici sono così facili da configurare piuttosto dei Cisco?

Tranquillo, anch'io mi sento taaanto ignorante nel mondo Cisco, però confido nei guru del forum per illuminarmi la via, e uno l'abbiamo già nel thread perciò siamo a caavllo

La BVI è un'interfaccia virtuale che viene creata per mettere in bridge diverse interfacce tra loro (nel tuo caso la vlan1 con qualche altra interfaccia -non presente però nella conf che ci hai postato-).
Se magari vuoi postarci le modifiche che hai applicato alla conf vediamo di capire perchè ti si è modificato il funzionamento.
Se la conf è tutta quella che ci hai postato la BVI non ti serve a nulla e probabilmente ti serviva prima per la vpn di cui parli. Ora potresti riconfigurare la vlan1 normalmente e toglierla dal bridge.


Riguardo all'access list 102, hai scritto

Codice: Seleziona tutto

no ip access-group 102 in

nella conf vero? Non hai scritto semplicemente "no access-list 102" come hai scritto nel tuo post vero? Perchè in quel caso ti avrebbe dovuto dare errore e l'acl è ancora attiva.

Rizio

[davidebonetti]

per Emiliano, se tolgo la 101 non cambia nulla... per Rizio, ho scritto solo "no access-list 102" però non ha dato nessun errore...

cmq per provare a togliere la 101 ho scritto solo "no access-list 101" quindi forse ho cannato... ora faccio un paio di prove incrociate.

cmq la conf allegata è intera quindi se volete mi togliete anche la BVI e gli diamo una ottimizzata in funzione di ciò che ho scritto sopra? GRAZIE...

[davidebonetti]

non ne salto fuori, ho provato a togliere sia la 101, sia la 102, sia entrambe e non riesco a connettermi alla rete KAD (Telecom non c'entra nulla perchè non filtra e comunque ha sempre funzionato...)

ho paura di avere fatto casino quando ho tolto la parte VPN... che sia tutta colpa dell'interfaccia BVI inutile?

[davidebonetti]

non è wifi è un 877 solo ADSL... ok in base a quello che mi dici sono sicuro che la BVI è un rimasuglio della VPN... stasera vedo di eliminare e ripulire il tutto perchè prima delle modifiche VPN emule andava come un treno...

non ho comunque provato a togliere quell'inspect di firewall ma non è quello, mi taglio le mani.

[davidebonetti]

notizia buona e notizia cattiva: quella buona è che ora funziona... quella cattiva è che non ho capito perchè

ho fatto varie prove, ho eliminato la BVI, alla fine ho cambiato proprio il numero delle porte girate per emule e ora funziona. allego nuova configurazione. ora due domande:

1) quali sono i comandi di NAT e access-list per girare/aprire UN RANGE di porte invece di una singola?
2) possiamo andare più nello specifico nella configurazione delle access list perchè facciano effettivamente quello che voglio io (vedi post più in alto)? ci sono in particolare i deny su ip di classi che mi sembrano locali che non capisco bene cosa fanno, ricordo che partii da una configurazione già pronta.