|
|||||||
|
|
|
 |
|
|
Strumenti |
29-06-2004, 15:24
|
#1 |
|
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
router cisco [off-topic........forse],,,,,,,,,,
Ciao a tutti, scrivo questa richiesta di aiuto in questa sezione perchè probabilmente chi ha dimestichezza con iptables, arriva per intuito alla risposta.
Ho ereditato un router cisco della serie 760, però il problema è che non sono riuscito a ereditare anche i relativi manuali e non essendo configurabile via web ma via telnet, risulta un po' difficile in certe cose. Per quanto riguarda la connessione, ho fatto tutto senza problemi; ora mi trovo nella condizione di dover aprire alcune porte e anche quì avrei trovato delle soluzioni, però quando le metto in pratica il router si collega ma non naviga e quindi sto pensando che forse non ho capito bene il meccanismo. Se scrivo il comando: "show ip filter", il risultato è il seguente: IP Type Filter Profile ID Dir Type Action Addresses ---------------------------------------------------------- Standard 1 OUT UDP IGNORE DST 0.0.0.0/0:137-139 Standard 2 OUT TCP IGNORE DST 0.0.0.0/0:137 LAN 1 IN UDP BLOCK SRC 0.0.0.0/0:137-138 LAN 2 IN TCP BLOCK SRC 0.0.0.0/0:139 RemoteNet 1 IN UDP BLOCK SRC 0.0.0.0/0:137-138 RemoteNet 2 IN TCP BLOCK SRC 0.0.0.0/0:139 LAN 3 IN UDP BLOCK SRC 0.0.0.0/0:137-138 LAN 4 IN TCP BLOCK SRC 0.0.0.0/0:139 RemoteNet 6 IN UDP BLOCK SRC 0.0.0.0/0:137-138 RemoteNet 7 IN TCP BLOCK SRC 0.0.0.0/0:139 RemoteNet 3 OUT UDP IGNORE DST 0.0.0.0/0:137-139 RemoteNet 8 OUT TCP IGNORE DST 0.0.0.0/0:137 RemoteNet 4 OUT UDP IGNORE DST 0.0.0.0/0:137-139 A questo punto, mi trovo nella situazione di voler aprire le porte 4661-4662 (avete già capito il perchè) e la porta 22 per poter gestire il mio pc dall'esterno tramite ssh. Il comando che mi suggerisce il software del router è il seguente: SEt IP FIlter <[type] IN | OUt [SOurce = [NOT]<address>] [DEstination = [NOT]<address>]> | < IN | OUt <pattername>^8 > < BLock | ACcept | DEMand | IGnore > Per aprire le porte 4661-4662, ho fatto la seguente procedura: cd remotenet set ip filter tcp in source=0.0.0.0/0:4661-4662 accept cd lan set ip filter tcp out destination=0.0.0.0/0:4661-4662 accept invece per aprire la porta 22 ho provato questa soluzione: cd remotenet set ip filter tcp in source=192.168.0.15/24:22 accept cd lan set ip filter tcp out destination=0.0.0.0/0:22 accept Qualcuno è in grado di dirmi se sono io che non ho capito niente o se almeno mi sono avvicinato alla soluzione? Grazie. 
|
|
|
|
02-07-2004, 19:24
|
#2 |
|
Senior Member
Iscritto dal: Jul 2002
Città: Padova
Messaggi: 4245
|
UP
|
|
|
|
|
02-07-2004, 20:58
|
#3 |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
ciao, non conosco bene i cisco, ma quello che posso dirti per certo avendo esperienza di firewalling con iptables è questo:
quello che cerchi di fare tu con le porte 4661 e 4662 funziona così il tuo router è la linea di confine tra te ed internet, per cui è lui a beccarsi i pacchetti, e non la tua rete. devi fare in modo che quando un pacchetto colpisce il tuo router sulle suddette porte tcp, venga attivata una traslazione di questi pacchetti associando in maniera biunivoca un indirizzo ip della tua rete interna alle porte 466[12]. se non erro nel mondo cisco questa tecnica si chiama PAT (port address translation). nel mondo linux farei così Codice:
iptables -P FORWARD -p tcp -m multiport --destination-port 4661,4662 -j ACCEPT iptables -P FORWARD -p tcp -m multiport --source-port 4661,4662 -j ACCEPT iptables -t nat -P PREROUTING -p tcp --dport 4661 --dst my.public.ip.address -j DNAT --to-destination a.private.ip.address iptables -t nat -P PREROUTING -p tcp --dport 4662 --dst my.public.ip.address -j DNAT --to-destination a.private.ip.address
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:15.
