PDA

View Full Version : router cisco [off-topic........forse],,,,,,,,,,


stefanoxjx
29-06-2004, 14:24
Ciao a tutti, scrivo questa richiesta di aiuto in questa sezione perchè probabilmente chi ha dimestichezza con iptables, arriva per intuito alla risposta.
Ho ereditato un router cisco della serie 760, però il problema è che non sono riuscito a ereditare anche i relativi manuali e non essendo configurabile via web ma via telnet, risulta un po' difficile in certe cose.
Per quanto riguarda la connessione, ho fatto tutto senza problemi; ora mi trovo nella condizione di dover aprire alcune porte e anche quì avrei trovato delle soluzioni, però quando le metto in pratica il router si collega ma non naviga e quindi sto pensando che forse non ho capito bene il meccanismo.

Se scrivo il comando: "show ip filter", il risultato è il seguente:
IP Type Filter
Profile ID Dir Type Action Addresses
----------------------------------------------------------
Standard 1 OUT UDP IGNORE DST 0.0.0.0/0:137-139
Standard 2 OUT TCP IGNORE DST 0.0.0.0/0:137
LAN 1 IN UDP BLOCK SRC 0.0.0.0/0:137-138
LAN 2 IN TCP BLOCK SRC 0.0.0.0/0:139
RemoteNet 1 IN UDP BLOCK SRC 0.0.0.0/0:137-138
RemoteNet 2 IN TCP BLOCK SRC 0.0.0.0/0:139
LAN 3 IN UDP BLOCK SRC 0.0.0.0/0:137-138
LAN 4 IN TCP BLOCK SRC 0.0.0.0/0:139
RemoteNet 6 IN UDP BLOCK SRC 0.0.0.0/0:137-138
RemoteNet 7 IN TCP BLOCK SRC 0.0.0.0/0:139
RemoteNet 3 OUT UDP IGNORE DST 0.0.0.0/0:137-139
RemoteNet 8 OUT TCP IGNORE DST 0.0.0.0/0:137
RemoteNet 4 OUT UDP IGNORE DST 0.0.0.0/0:137-139

A questo punto, mi trovo nella situazione di voler aprire le porte 4661-4662 (avete già capito il perchè) e la porta 22 per poter gestire il mio pc dall'esterno tramite ssh.
Il comando che mi suggerisce il software del router è il seguente:

SEt IP FIlter <[type] IN | OUt [SOurce = [NOT]<address>]
[DEstination = [NOT]<address>]> |
< IN | OUt <pattername>^8 > < BLock | ACcept | DEMand | IGnore >

Per aprire le porte 4661-4662, ho fatto la seguente procedura:

cd remotenet
set ip filter tcp in source=0.0.0.0/0:4661-4662 accept
cd lan
set ip filter tcp out destination=0.0.0.0/0:4661-4662 accept

invece per aprire la porta 22 ho provato questa soluzione:
cd remotenet
set ip filter tcp in source=192.168.0.15/24:22 accept
cd lan
set ip filter tcp out destination=0.0.0.0/0:22 accept

Qualcuno è in grado di dirmi se sono io che non ho capito niente o se almeno mi sono avvicinato alla soluzione?
Grazie.

:muro: :muro:

stefanoxjx
02-07-2004, 18:24
UP :D

gurutech
02-07-2004, 19:58
ciao, non conosco bene i cisco, ma quello che posso dirti per certo avendo esperienza di firewalling con iptables è questo:
quello che cerchi di fare tu con le porte 4661 e 4662 funziona così

il tuo router è la linea di confine tra te ed internet, per cui è lui a beccarsi i pacchetti, e non la tua rete.
devi fare in modo che quando un pacchetto colpisce il tuo router sulle suddette porte tcp, venga attivata una traslazione di questi pacchetti associando in maniera biunivoca un indirizzo ip della tua rete interna alle porte 466[12].
se non erro nel mondo cisco questa tecnica si chiama PAT (port address translation).

nel mondo linux farei così

iptables -P FORWARD -p tcp -m multiport --destination-port 4661,4662 -j ACCEPT
iptables -P FORWARD -p tcp -m multiport --source-port 4661,4662 -j ACCEPT
iptables -t nat -P PREROUTING -p tcp --dport 4661 --dst my.public.ip.address -j DNAT --to-destination a.private.ip.address
iptables -t nat -P PREROUTING -p tcp --dport 4662 --dst my.public.ip.address -j DNAT --to-destination a.private.ip.address