Cisco 837 e CRWS+SDM
Moderatore: Federico.Lagni
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Sono d'accordo con te su tenere leggibile la configurazione (un po' come quando si indenta del codice)..riguardo a l'ultima istruzione in global conf..la metto volentieri ...mi spieghi solo cosa significa ?
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
OK! dopo un po di tentativi ecco la mia conf (semidefinitiva) che funziona sia con WINMX che con e-mule...+ qualche commento su cosa non ho capito ..(ho fatto anche un test su www.auditmypc.com e sembra tutto OK)
fatemi sapere che ne pensate...
TIA
fatemi sapere che ne pensate...
TIA
Codice: Seleziona tutto
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.11
!
ip dhcp pool CLIENT
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server a.b.c.d a.b.c.d
lease 0 2
!
!
ip name-server a.b.c.d
ip name-server a.b.c.d
ip inspect name myfw cuseeme timeout 3600 #
ip inspect name myfw ftp timeout 3600 #
ip inspect name myfw rcmd timeout 3600 #
ip inspect name myfw realaudio timeout 3600 #
ip inspect name myfw smtp timeout 3600 #
ip inspect name myfw tftp timeout 30 # le inspect le ho lasciate
ip inspect name myfw udp timeout 15 # "as it is " fino a che non
ip inspect name myfw tcp timeout 3600 # capisco esattamente come agiscono
ip inspect name myfw h323 timeout 3600 #
ip audit notify log #
ip audit po max-events 100 #
ip ssh break-string
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
vpdn enable #
no vpdn logging #
! # queste le ho messe ma non le ho capite !!!!!!!!!
vpdn-group pppoe #
request-dialin #
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname XXXXXXXXXXXXX@liberolight
ppp chap password YYYYYYYYYYYYY
ppp pap sent-username XXXXXXXXXXXX@liberolight password YYYYYYYYYYYYYY
!
ip nat inside source static tcp 10.10.10.11 4662 interface Dialer1 4662
ip nat inside source static udp 10.10.10.11 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.11 6699 interface Dialer1 6699
ip nat inside source static udp 10.10.10.11 6257 interface Dialer1 6257
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any established
access-list 111 permit udp any eq domain any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 6699
access-list 111 permit udp any any eq 6257
access-list 111 ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Questa porzione di codice:
in global config, che ci sia o non ci sia non mi sembra che cambi niente..
ha a che fare con l'implementazione di un possibile VPN ?
Se poi qualcuno mi spiega cosa "FA" esattamente un'istruzione come:
Ringrazio anticipatamente
Codice: Seleziona tutto
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
ha a che fare con l'implementazione di un possibile VPN ?
Se poi qualcuno mi spiega cosa "FA" esattamente un'istruzione come:
Codice: Seleziona tutto
ip inspect name myfw tcp timeout 3600 -
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Si, non cambia molto. In realtà ha a che fare con la natura di pppoe (che è di fatto un tunnel).
Una connessione TCP viene considerata tale da alcuni dati di sessione. Una connessione viene considerata APERTA finchè non viene chiusa o non scade. 3600 è il valore che indica il tempo di vita di una connessione tcp muta.
Il principio è il medesimo per tutti gli altri timeout.
Per quanto riguarda la tua conf, l'ultima riga dell'acl 111 non mi sembra... qualcosa. Volevi dire deny ip any any?
Codice: Seleziona tutto
ip inspect name myfw tcp timeout 3600 Il principio è il medesimo per tutti gli altri timeout.
Per quanto riguarda la tua conf, l'ultima riga dell'acl 111 non mi sembra... qualcosa. Volevi dire deny ip any any?
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Quindi praticamente le "inspect rule" (intendo quelle della mia config) mi forzano il timeout di una sessione muta (in assenza di dati), dopo il quale la chiudono e, con questa, la porta relativa a quel particolare protocollo? non fanno altro ?
Embè si certo l'ultima riga della 111 e deny ip any any
(ma credo che sia superflua dato il deny implicito)
Embè si certo l'ultima riga della 111 e deny ip any any
(ma credo che sia superflua dato il deny implicito)
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Il timeout è un elemento in più che chiedi che venga considerato.
Le CBAC (context based access control) fanno molto altro, mentre noi ci sollazziamo con la banda larga.
Per fare un po' di esempi:
(TCP) dà un'occhiata alla corretta al numero di sequenza di tcp, rilevando eventuali pacchetti malformati, nonché controlla il flusso di messaggi di sistema contenuti negli header (SYN, ACK, FIN ecc.), rilevando possibili usi illegittimi (vedi DoS)
(SMTP,FTP) riconosce alcune trame maliziose, tipiche di exploit
(FTP) apre e chiude porte per l'impiego di ftp passivo
e molto altro ancora
Le CBAC (context based access control) fanno molto altro, mentre noi ci sollazziamo con la banda larga.
Per fare un po' di esempi:
(TCP) dà un'occhiata alla corretta al numero di sequenza di tcp, rilevando eventuali pacchetti malformati, nonché controlla il flusso di messaggi di sistema contenuti negli header (SYN, ACK, FIN ecc.), rilevando possibili usi illegittimi (vedi DoS)
(SMTP,FTP) riconosce alcune trame maliziose, tipiche di exploit
(FTP) apre e chiude porte per l'impiego di ftp passivo
e molto altro ancora
-
aries58net
- Cisco power user
- Messaggi: 88
- Iscritto il: lun 14 mar , 2005 9:01 pm
Ho capito...cioe' in linea di massima mi è chiaro il concetto...ma mi fionderò appena posso nel sito della cisco per tirarmi giù un po' di documentazione sul CBAC...cmq grazie a tutti ...e meno male che esistono i forum!!
