Quei furboni di dyndns hanno cambiato l'ìp di members.dyndns.org e così il mio host non veniva più aggiornato perché ovviamente il firewall bloccava il DDNS update!!
Questa era la regola acl:
access-list 101 permit tcp host 63.208.196.95 eq www any log
in cui si deve cambiare l'ip con il nuovo che è 204.13.248.112 quindi:
access-list 101 permit tcp host 204.13.248.112 eq www any log
Certo sarebbe bello anziché metter l'ip poter scrivere il nome direttamente, ma anche se lo si fa, nella config viene trasformato direttamente in ip.
mannaggia a dyndns.... ho dovuto fare uno scan di tutti gli ip di brescia che ha tiscali per ritrovare il mio router in remoto!!
ATTENZIONE! members.dyndns.org ha cambiato ip!!
Moderatore: Federico.Lagni
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
se la connessione e' casalinga, non ha senso bloccare tutto in uscita.... *imho* 
-
Galerio
- n00b
- Messaggi: 20
- Iscritto il: gio 26 feb , 2009 9:44 am
ma non dovrebbe essere una acl per abilitare/disabilitare il traffico in entrata da internet?
che richiama le varie regole come appunto la
Non me ne intendo ancora un granché, per ora mi limito a prender spunti da altre config per creare la mia.
Codice: Seleziona tutto
interface Dialer0
ip access-group 101 in
Codice: Seleziona tutto
access-list 101 permit tcp host 204.13.248.112 eq www any log -
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
quando fai l'update, sei tu che ti connetti a DynDNS e quindi crei traffico in uscita; DynDNS rispondera' con il traffico di callback, che dovra' essere aperto con l'inspect.
ciao
ciao
-
Galerio
- n00b
- Messaggi: 20
- Iscritto il: gio 26 feb , 2009 9:44 am
Ho capito ora, mi avevan detto la stessa cosa per i dns, ma se tolgo la regola nella acl poi non funziona nulla!
Inaffti nelle acl in ingresso nella interface Dialer0 ho:
e i miei firewall inspect sono:
dove puoi vedere che ho sia quello per i dns che altri... quale devo mettere per permettere l'aggiornamento di dyndns?
O forse devo togliere la acl "access-list 101 deny ip any any log"?
Grazie
Inaffti nelle acl in ingresso nella interface Dialer0 ho:
Codice: Seleziona tutto
access-list 101 permit tcp host 204.13.248.112 eq www any log
access-list 101 permit udp host 195.186.1.111 eq domain any
access-list 101 permit udp host 195.186.4.111 eq domain any
access-list 101 permit udp host 207.46.232.42 eq ntp any
access-list 101 permit udp host 192.43.244.18 eq ntp any
access-list 101 permit gre any any
access-list 101 remark *************************************************************
access-list 101 remark *** ACL port forwarding ***
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 4711
access-list 101 permit tcp any any eq 7395
access-list 101 permit tcp any any eq 35238
access-list 101 permit tcp any any eq 81
access-list 101 permit udp any any eq 80
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 8080
access-list 101 permit udp any any eq 5938
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 6346
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 36433
access-list 101 permit tcp any any eq 6348
access-list 101 permit tcp any any eq 15698
access-list 101 permit tcp any any eq 6347
access-list 101 permit tcp any any eq 5060
access-list 101 permit udp any any eq 5060
access-list 101 permit tcp any any eq 4712
access-list 101 permit tcp any any eq 5662
access-list 101 permit udp any any eq 5672
access-list 101 permit udp any any eq 4665
access-list 101 permit udp any any eq discard
access-list 101 permit udp any any eq 8457
access-list 101 permit udp any any eq 35238
access-list 101 permit udp any any eq 6346
access-list 101 permit udp any any eq 6348
access-list 101 permit udp any any eq 15698
access-list 101 permit udp any any eq 6347
access-list 101 remark *************************************************************
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 169.254.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 198.18.0.0 0.1.255.255 any
access-list 101 deny ip 224.0.0.0 0.15.255.255 any
access-list 101 deny ip any host 255.255.255.255
access-list 101 deny icmp any any echo
access-list 101 deny ip any any logCodice: Seleziona tutto
ip inspect log drop-pkt
ip inspect name Firewall cuseeme
ip inspect name Firewall dns
ip inspect name Firewall ftp
ip inspect name Firewall h323
ip inspect name Firewall https
ip inspect name Firewall icmp
ip inspect name Firewall imap
ip inspect name Firewall pop3
ip inspect name Firewall rcmd
ip inspect name Firewall realaudio
ip inspect name Firewall rtsp
ip inspect name Firewall esmtp
ip inspect name Firewall sqlnet
ip inspect name Firewall streamworks
ip inspect name Firewall tftp
ip inspect name Firewall tcp
ip inspect name Firewall udp
ip inspect name Firewall vdoliveO forse devo togliere la acl "access-list 101 deny ip any any log"?
Grazie
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
manca
ip inspect name Firewall http
ciao
ip inspect name Firewall http
ciao
-
Galerio
- n00b
- Messaggi: 20
- Iscritto il: gio 26 feb , 2009 9:44 am
ehm... niente, se tolgo la acl l'update del dydns non funziona nonostante abbia messo l'inspect http
Ecco il log:
Ma niente da fare, l'ip non s'aggiorna.
Ma se metto solo la acl riguardante l'ip di members.dyndns.org anche così non funziona, devo per forza aggiungere l'acl per i miei dns!!
Ecco il log:
Codice: Seleziona tutto
000157: Mar 31 13:56:36.839: DYNDNSUPD: Adding DNS mapping for galerio.dyndns.org <=> 78.12.125.243
000158: Mar 31 13:56:36.839: HTTPDNS: Update add called for galerio.dyndns.org <=> 78.12.125.243
000159: Mar 31 13:56:36.839: HTTPDNSUPD: Session ID = 0x9
000160: Mar 31 13:56:36.839: HTTPDNSUPD: URL = 'http://galerio:[email protected]/nic/update?system=dyndns&hostname=galerio.dyndns.org&myip=78.12.125.243'
000161: Mar 31 13:56:36.839: HTTPDNSUPD: Sending request
Ma se metto solo la acl riguardante l'ip di members.dyndns.org anche così non funziona, devo per forza aggiungere l'acl per i miei dns!!
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
ip inspect name OUTBOUND_ROUTER tcp router-traffic
ip inspect name OUTBOUND_ROUTER udp router-traffic
ip inspect name OUTBOUND_ROUTER icmp router-traffic
ip inspect OUTBOUND_ROUTER out nella dialer
prova cosi'
ciao
ip inspect name OUTBOUND_ROUTER udp router-traffic
ip inspect name OUTBOUND_ROUTER icmp router-traffic
ip inspect OUTBOUND_ROUTER out nella dialer
prova cosi'
ciao
-
Galerio
- n00b
- Messaggi: 20
- Iscritto il: gio 26 feb , 2009 9:44 am
eh, già, era l'inspect per l'outbound a mancare!! Ma ci stavo arrivando anche io 
Grazie mille per le dritte!!
Ora però bisognerebbe modificare tutte le configurazioni di esempio che ci sono su questo forum... perché io ho attinto da lì, ecco perché avevo questi problemi.
Ciao
Grazie mille per le dritte!!
Ora però bisognerebbe modificare tutte le configurazioni di esempio che ci sono su questo forum... perché io ho attinto da lì, ecco perché avevo questi problemi.
Ciao
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
assolutamente no...
ogni config rispecchia una topologia di rete ed eventuali esigenze di chi la gestisce... non devono essere tutte uguali.
ciao
ogni config rispecchia una topologia di rete ed eventuali esigenze di chi la gestisce... non devono essere tutte uguali.
ciao
