837: accesso ad un server sulla lan interna dall'esterno

[!gabri!]

Vorrei poter accedere al mio server della mia lan con ip 192.168.0.252 dall'esterno tramite http e ftp.

Ho provato ad aggiungere queste access list:
access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www

ma purtroppo non riesco ad accedere.

ecco la mia configurazione (prevede anche l'accesso voip)
Se ci sono cose superflue fatemi sapere.

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname RG-Router
!
boot-start-marker
boot-end-marker
!
enable password 7 ******
!
no aaa new-model
!
resource policy
!
!
!
!
!
ip cef
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 esmtp
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ddns update method myupdate
 HTTP
  add http://dynupdate.no-ip.com/dns?username=***&password=***&hostname=***
 interval maximum 1 0 0 0
!
!
!
crypto pki trustpoint TP-self-signed-2627134875
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2627134875
 revocation-check none
 rsakeypair TP-self-signed-2627134875
!
!
crypto pki certificate chain TP-self-signed-2627134875
 certificate self-signed 01
*****
  quit
username *** password 7 ****
!
!
class-map match-any voice-control
 match access-group name voice-control
class-map match-all voice
 match ip rtp 16384 16383
!
!
policy-map VOICE
 class voice
  priority percent 50
 class voice-control
  bandwidth 60
 class class-default
  fair-queue
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 hold-queue 224 in
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Dialer0
 bandwidth 1280
 ip ddns update hostname *****
 ip ddns update myupdate
 ip address negotiated
 ip access-group 101 in
 ip nat outside
 ip inspect DEFAULT100 out
 ip virtual-reassembly
 encapsulation ppp
 ip tcp header-compression iphc-format
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username aliceadsl password 7 050A0A0622494F0D0A09
 service-policy output VOICE
 ip rtp header-compression iphc-format
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 Null0 250
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list nat interface Dialer0 overload
!
!
ip access-list extended nat
 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended voice-control
 permit tcp any any eq 2000
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 permit esp any any
access-list 101 permit ahp any any
access-list 101 permit udp host 193.204.114.105 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www
access-list 101 deny   ip any any log
access-list 101 permit udp any any eq 5060
no cdp run
!
!
control-plane
!
!
line con 0
 no modem enable
 transport output all
line aux 0
 transport output all
line vty 0 4
 login local
 transport input all
 transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end

Ringrazio anticipatamente

[TheIrish]

Così su due piedi, vedo che l'ACL 101 è stata applicata sul Dialer in direzione IN.
Sarebbe correttissimo, se non avesso il NAT di mezzo. All'ingresso dell'interfaccia WAN, il NAT non è ancora avvenuto e quindi la destinazione è sconosciuta. Ne consegue che prima del NAT, 192.168.0.252... non c'è.
Ergo, quand'è che conosciamo la destinazione reale?

[!gabri!]

Ti ringrazio moltissimo per la risposta.
Ho le idee un po' confuse...
Quindi manda una regola sulle nat d'ingresso, giusto?
Dovrei inserire una riga tipo questa?

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80

Se e' corretta, va inserita sulla dialer0?

[!gabri!]

Ho inserito:
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80

ma nulla, dall'esterno non riesco ad accedere al mio web server

[[Dj][DMX]]

No, intendeva dire che le righe

access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www

non hanno senso perchè sul dialer in il router non ha ancora idea di chi sia 192.168.0.252!

Devi sostituirle con:

access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www

e poi, se vuoi, le devi limitare in seguito con un'altra ACL al solo indirizzo ip del server, da applicare sulla ethernet out.

[!gabri!]

Chiedo scusa, sono alle prime armi col Cisco.

Ho sostituito le due righe:
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www

Con le 2 ACL di cui sopra gli dico di far passare tutto l'ftp e tutto il www,
ma non ho ancora capito bene dove devo inserire la regola per girare il traffico http e ftp sul 192.168.0.252.

Un'altra domanda: gt 1023 all'interno della regola del www cosa significa?

Grazie ancora per le risposte

[TheIrish]

GT vuol dire greater than, più grande di.
Per favore, posta la configurazione com'è adesso, alla luce dei nuovi fatti.

[!gabri!]

>GT vuol dire greater than, più grande di.
piu' grande di 1023 inteso come porta?
C'e' qualcosa che non mi e' chiaro, quindi quella regola significa che lascia passare tutte le porte piu' alte di 1023? (se e' cosi' l'http sulla 80 non dovrebbe funzionare)


Ho inserito nella configurazione :
ip nat inside source static tcp 192.168.0.252 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80

ed anche:
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www

Ed adesso funziona! (grazie!)
ma dicendogli: permit tcp any any eq ftp ecc.
la configurazione e' sicura?

Adesso ho un'altro problema da quando ho aggiunto i nat e le access-list,
non mi funziona piu' il ddns

Devo aggiungere delle regole per farlo funzionare?


La mia ultima conf:

Codice: Seleziona tutto

Current configuration : 4241 bytes
!
! Last configuration change at 18:43:29 UTC Tue Oct 17 2006 by gabriele
! NVRAM config last updated at 18:46:16 UTC Tue Oct 17 2006 by gabriele
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname RG-Router
!
boot-start-marker
boot-end-marker
!
enable password 7 ***
!
no aaa new-model
!
resource policy
!
!
!
!
!
ip cef
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 esmtp
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ddns update method myupdate
 HTTP
  add http://dynupdate.no-ip.com/dns?username=****&password=***&hostname=***
 interval maximum 1 0 0 0
!
!
!
!
username *** password 7 ***
!
!
class-map match-any voice-control
 match access-group name voice-control
class-map match-all voice
 match ip rtp 16384 16383
!
!
policy-map VOICE
 class voice
  priority percent 50
 class voice-control

  bandwidth 60
 class class-default
  fair-queue
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 hold-queue 224 in
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
interface Dialer0
 bandwidth 1280
 ip ddns update hostname ***
 ip ddns update myupdate
 ip address negotiated
 ip access-group 101 in
 ip nat outside
 ip inspect DEFAULT100 out
 ip virtual-reassembly
 encapsulation ppp
 ip tcp header-compression iphc-format
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username aliceadsl password 7 050A0A0622494F0D0A09
 service-policy output VOICE
 ip rtp header-compression iphc-format
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 Null0 250
!
ip http server
ip http authentication local
ip http secure-server

!
ip nat inside source list nat interface Dialer0 overload
ip nat inside source static tcp 192.168.0.252 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80
!
!
ip access-list extended nat
 deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended voice-control
 permit tcp any any eq 2000
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 permit esp any any
access-list 101 permit ahp any any
access-list 101 permit udp host 193.204.114.105 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www
access-list 101 deny   ip any any log
access-list 101 permit udp any any eq 5060
no cdp run
!
!
control-plane
!
!
line con 0
 no modem enable
 transport output all
line aux 0
 transport output all
line vty 0 4
 login local
 transport input all
 transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end

[!gabri!]

Sono giorni che ormai sto' impazzendo con questo router
Non ho capito come mai adesso che vedo il mio server dall'esterno non funziona piu' il ddns
C'e' qualche buon anima che riesce a dare un'occhiata alla configurazione di cui sopra?
Ringrazio anticipatamente e a buon rendere su altro forum...

[TheIrish]

Io ho il sospetto che abbia ben poco a che fare con il router. Prova a controllare il tuo account ddns.

[!gabri!]

Ha fatto un po' di debug, ho scoperto che il router non risolve il nome (perche'?)

Allora ho modificato la richiesta a no-ip.com con il suo ip:
http://204.16.252.97/dns?username=***** ... no-ip.info

Ho cosi' constatato che il firewal blocca l'accesso a quel IP:
00:02:19: %SEC-6-IPACCESSLOGP: list 101 denied tcp 204.16.252.97(80) -> 87.8.52.248(34973), 1 packet
00:02:29: %SEC-6-IPACCESSLOGP: list 101 denied tcp 204.16.252.97(80) -> 87.8.52.248(39638), 1 packet

Devo aggiungere una regola alle ACL o modificarne una esistente?

Ringrazio ancora per le risposte.

[!gabri!]

Ho fatto una prova,
ho tolto ip inspect DEFAULT100 out
dalla dialer 0

ed il ddns e' ripreso a funzionare!

Quindi mi manca una regola per far uscire (o entrare?) questo ddns con le ACL,
ma non saprei quale regola aggiungere

Qulacuno riesce ad aiutermi?

[[Dj][DMX]]

Ho fatto una prova,
ho tolto ip inspect DEFAULT100 out
dalla dialer 0

Prova ad applicarlo sulla ethernet in.

access-list 101 deny ip any any log
access-list 101 permit udp any any eq 5060

Le ACL hanno un ordine ben preciso, l'ultima regola che hai messo è come se non ci fosse perchè prima hai negato qualsiasi cosa, invertile di posto.

[!gabri!]

Grazie [Dj][DMX],

ho applicato le access-list 101 sulla ethernet 0
#ip access-group 101 out
e corretto la regola che mi hai segnalato, ora funziona tutto.

Ma avendo applicato le ACL sulla ethernet 0 e non sulla dialer 0,
la configurazione e' comunque sicura?

[[Dj][DMX]]

Non sono le acl che hai "spostato"!
Comunque a mio parere dovresti scrivere un'altra acl da applicare sulla ethernet out che permetta i servizi di cui hai bisogno solo agli host che ne necessitano.