Problema con il firewall del Cisco 837

[MircoT]

Ciao a tutti,
ho un router adsl Cisco 837 con firewall attivo.

L'attivazione del firewall mi impedisce di fare un telnet sulla porta 25 (oppure 80) di un server su internet. Mi connetto, ma appena inserisco un carattere la sessione viene chiusa.
Per chiarire: il telnet sulla porta 25 lo faccio per provare le impostazioni antispam dei server internet che configuro

Deve essere per forza una impostazione del firewall perchè disattivandolo riesco di nuovo a fare i miei test.

Purtroppo di Cisco IOS capisco pochissimo, praticamente nulla...
Ho ravanato nel sito Cisco, ma per ora non ho trovato nulla che facesse al caso mio...

Lo sh ver mostra:
Cisco Internetwork Operating System Software
IOS (tm) C837 Software (C837-K9O3Y6-M), Version 12.2(13)ZH2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Synched to technology version 12.2(14.5)T
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 22-Jul-03 09:37 by ealyon
Image text-base: 0x800131E8, data-base: 0x80AA14DC

ROM: System Bootstrap, Version 12.2(8r)YN, RELEASE SOFTWARE (fc1)
ROM: C837 Software (C837-K9O3Y6-M), Version 12.2(13)ZH2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

MircoT uptime is 4 hours, 10 minutes
System returned to ROM by power-on
System image file is "flash:c837-k9o3y6-mz.122-13.ZH2.bin"

CISCO C837 (MPC857DSL) processor (revision 0x400) with 44237K/4915K bytes of memory.
Processor board ID AMB074206SK (1107116386), with hardware revision 0000
CPU rev number 7
Bridging software.
1 Ethernet/IEEE 802.3 interface(s)
1 ATM network interface(s)
128K bytes of non-volatile configuration memory.
12288K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)



lo sh conf mostra:
Building configuration...

Current configuration : 3360 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MircoT
!
logging queue-limit 100
no logging buffered
enable secret 5 <removed>
!
username <removed> password 7 <removed>
username CRWS_Ulags privilege 15 password 7 <removed>
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.200.1
ip dhcp excluded-address 192.168.200.1 192.168.200.49
ip dhcp excluded-address 192.168.200.201 192.168.200.254
!
ip dhcp pool CLIENT
import all
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.200.1-255.255.255.0
ip address 192.168.200.1 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.200.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 192.168.200.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end


Mi potete aiutare?


Ciauzzzzz!

[NightStalker]

purtroppo la cosa mi torna molto strana.

cmq devi rifare decisamente l'access-list 111 che definisce il traffico in entrata sulla tua interfaccia Dialer 1, così è un suicidio, praticamente stai facendo entrare tutto il traffico Netbios dall'esterno (Blaster e compagnia bella...), assolutamente da levare e pure protocolli inutili (esp&isakmp, hai un vpn verso l'ufficio? se si filtra mettendo l'ip di provenienza, altrimenti leva anche questa come il netbios; inoltre che te ne fai in entrata sulle dialer di bootp, l2tp, gre e compagnia bella?); inoltre in cima all'access-list metti un deny degli ip privati, per evitare spoofing (es: access-list 111 deny ip 10.0.0.0 0.0.0.255 any), ossia qualcuno che sulla dialer 1 (che essendo interfaccia esterno, non dovrebbe vedere in entrata ip privati) falsifichi il proprio ip e riesco ad aggirare le acl.


ancora: leva ip http server, è una porcata il web manager dei Cisco.



infine: per il problema con il firewall, prova a fare un debug ip inspect events quando provi a fare telnet, e vedi se ti da qualcosa di anomalo (ti ricordo che per vedere il debug devi abilitare il logging console)

[MircoT]

Grazie della risposta.
Effettivamente anche io ho notato quella strana access list 111 che permette un po' troppe cose...
L'attuale configurazione è quella generata dalla procedura di settaggio via browser... quindi ovviamente è un pochetto permissiva...

Ho fatto anche dei test di vulnerabilità che si trovano su internet: a parte la porta 139 (che risulta chiusa) tutte le altre porte provate risultano nascoste... il che è buona cosa, di solito...
Ora vedo di ravanare l'access list 111 per togliere un po' di roba...

Quanto a esp&isakmp: si, a volte devo connettermi in vpn con l'ufficio, quindi immagino che debba rimanere...
Domanda: se "accendo" la vpn via software, cioè uso un software installato sul pc, e tolgo esp&isakmp dal router, secondo te riesco a connettermi lo stesso?

Allo spoofing ci avevo pensato: devo però stare attento al fatto che l'ip originale del router (10.10.10.1) è rimasto anche dopo che ho cambiato classe alla rete interna (che ha messo come secondaria...)... oppure lo posso escludere comunque senza pietà... non vorrei chiudermi fuori della porta... anche se c'è comunque l'accesso in console...

Di nuovo grazie dell'aiuto!


Ciauzzzzzz!

[MircoT]

Quella che ho messo in fondo al post dovrebbe andare meglio.
La statica in ingresso sulla porta www mi serve perchè possano accedere dall'esterno ad un server web che accendo a necessità. Quando non è acceso ci pensa ZoneAlarm a impedire l'accesso. Anche se immagino che potrei sostituire la "access-list 111 permit tcp any any eq www" con "access-list 111 permit tcp any host 192.168.200.50 eq www"...

Le access list relative alle vpn le vorrei lasciare per il momento...

Per lo spoofing: oltre alla classe 10.0.0.0 immagino dovrei aggiungere anche la classe 192.168.0.0 e 172.16.0.0... o no?

Quanto al problema del telnet... Questa riga "ip inspect name myfw smtp timeout 3600" potrebbe dare noia? E' necessaria al firewall per proteggermi dagli attacchi dall'esterno?

Ma soprattutto: dove posso documentarmi per capire un po' di più sulla configurazione? Oltre al sito Cisco che, mi pare, è parecchio incasinato...

Ancora grazie dell'aiuto.


Ciauzzz!



!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MircoT
!
logging queue-limit 100
logging buffered 4096 informational
enable secret 5 <removed>
!
username MircoT password 7 <removed>
username CRWS_Bijoy privilege 15 password 7 <removed>
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.200.1
ip dhcp excluded-address 192.168.200.1 192.168.200.49
ip dhcp excluded-address 192.168.200.201 192.168.200.254
ip dhcp excluded-address 192.168.200.50
!
ip dhcp pool CLIENT
import all
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.200.1-255.255.255.0
ip address 192.168.200.1 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.200.50 80 interface Dialer1 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.200.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 192.168.200.0 0.0.0.255 any
access-list 111 permit tcp any host 192.168.200.50 eq www
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip host 255.255.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

[MircoT]

uppettino...

[NightStalker]

Quote:

Originariamente inviato da MircoT
Quella che ho messo in fondo al post dovrebbe andare meglio.
La statica in ingresso sulla porta www mi serve perchè possano accedere dall'esterno ad un server web che accendo a necessità. Quando non è acceso ci pensa ZoneAlarm a impedire l'accesso. Anche se immagino che potrei sostituire la "access-list 111 permit tcp any any eq www" con "access-list 111 permit tcp any host 192.168.200.50 eq www"...

Le access list relative alle vpn le vorrei lasciare per il momento...

Per lo spoofing: oltre alla classe 10.0.0.0 immagino dovrei aggiungere anche la classe 192.168.0.0 e 172.16.0.0... o no?

x quanto riguarda il web server, decisamente meglio la 2nda ipotesi.
per l'antispoofing, come ho detto quello era un esempio, gli indirizzi privati sono noti e non mi pareva il caso di ripeterli... ricordati solo di mettere PRIMA dell'antispoofing, anche gli indirizzi privati che devi permettere in entrata (se ce ne sono) altrimenti te li droppa. e ricordati che sarebbe meglio non aprire 1723 (l2tp?), isakmp, esp et similia a tutti, ma solo agli ip effettivi che devono comunicare colla tua VPN (in ufficio avrai pure un pool di indirizzi pubblici o no?)

Quote:

Originariamente inviato da MircoT
Quanto al problema del telnet... Questa riga "ip inspect name myfw smtp timeout 3600" potrebbe dare noia? E' necessaria al firewall per proteggermi dagli attacchi dall'esterno?

quella riga che fa l'inspection in modo che il traffico in ritorno a una connessione da te originata che sia su smtp non contenga comandi pericolosi (tipo VRFY su smtp) o malformazioni... in ogni caso, prova a disabilitarla, di per se dovrebbe funzionare, ma se fosse un baco... cmq la tua release non mi risulta DF (Deferred Release, ossia le release bacate)

Quote:

Originariamente inviato da MircoT

Ma soprattutto: dove posso documentarmi per capire un po' di più sulla configurazione? Oltre al sito Cisco che, mi pare, è parecchio incasinato...

Ancora grazie dell'aiuto.

il sito Cisco di documentazione na ha bizzeffe e di posti migliori per cercarne sinceramente non ne conosco

Quote:

Originariamente inviato da MircoT
Ciauzzz!



!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MircoT
!
logging queue-limit 100
logging buffered 4096 informational
enable secret 5 <removed>
!
username MircoT password 7 <removed>
username CRWS_Bijoy privilege 15 password 7 <removed>
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.200.1
ip dhcp excluded-address 192.168.200.1 192.168.200.49
ip dhcp excluded-address 192.168.200.201 192.168.200.254
ip dhcp excluded-address 192.168.200.50
!
ip dhcp pool CLIENT
import all
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.200.1-255.255.255.0
ip address 192.168.200.1 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.200.50 80 interface Dialer1 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.200.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 192.168.200.0 0.0.0.255 any
access-list 111 permit tcp any host 192.168.200.50 eq www
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip host 255.255.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

l'access-list va decisamente meglio, ma ti ripeto

1) access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any

limita queste righe mettendo dove sta il primo any un range di ip che hanno il permesso di effettuare la VPN con te

2) access-list 111 deny ip any any log

può essere comodo in certi usi (tipo coll'opzione log) ma ricordati che un deny di default c'è già alla fine di ogni access-list.



ciao

[MircoT]

Grazie mille delle dritte
Ieri mi sono fatto una navigata sul sito Cisco alla ricerca di informazioni base sulle acl... e mi sono accorto che nelle acl la subnet va specificata al contrario, o meglio va specificata la sua complementare... così non riuscivo a capire perchè dicevi di fare l'antispoofing sugli indirizzi 10.0.0.0 0.0.0.255...
Io so che la classe privata 10 è di tipo A, cioè 10.x.y.z/255.0.0.0...
Probabilmente un tuo errore di battitura?

Anyway, ho impostato l'antispoofing sulle classi private includendo tutti gli indirizzi e mettendo le access list relative dopo quella che permette l'ingresso dei pacchetti verso il server web... dovrebbe andare bene.

Il "deny any any" lo vedo in quasi tutte le access list... però effettivamente, per come funzionano, sembra abbastanza inutile... tranne, come giustamente dici tu, per vederne il log...

Per la VPN metterò l'indirizzo del vpn3000 dell'ufficio


Fino ad ora ho ragionato "sulla carta"... cioè non ho ancora provato a modificare a mano la configurazione... meglio "capirne un pochetto" prima di fare danni...
Ma ora è ora che cominci a ravanare sul serio sulla bestia


Ancora grazie dell'aiuto!


Ciauzzz!

[MircoT]

Ho modificato le access list come mi hai detto... o quasi...
Ho preferito lasciare da parte per il momento la questione delle vpn... devo prima farmi dare l'esatto range di indirizzi dei vpn concentrator...

Il problema del telnet si è risolto togliendo la riga "ip inspect name myfw smtp timeout 3600"
Probabilmente in telnet sulla porta 25 c'è quel VRFY cui accennavi in un post...

Ora c'è un nuovo problemino... il server web interno non può essere raggiunto se nell'access list c'è "access-list 111 permit tcp any host 192.168.200.50 eq www"
Invece funziona se metto "access-list 111 permit tcp any any eq www"

Penso che in qualche maniera c'entri il fatto che l'ip principale del router è ancora il 10.10.10.1... o no?
Che cosa ne pensi?

Grazie dell'aiuto!
Ciauzzz!

p.s.: ora almeno i test di vulnerabilità (!!) che si trovano su internet vengono passati a pieni voti


Building configuration...

Current configuration : 3533 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname MircoT
!
logging queue-limit 100
logging buffered 4096 informational
enable secret 5 <removed>
!
username MircoT password 7 <removed>
username CRWS_Bijoy privilege 15 password 7 <removed>
ip subnet-zero
ip name-server 151.99.125.1
ip name-server 151.99.0.100
ip dhcp excluded-address 192.168.200.1
ip dhcp excluded-address 192.168.200.1 192.168.200.49
ip dhcp excluded-address 192.168.200.201 192.168.200.254
ip dhcp excluded-address 192.168.200.50
!
ip dhcp pool CLIENT
import all
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.200.1-255.255.255.0
ip address 192.168.200.1 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname <removed>
ppp chap password 7 <removed>
ppp pap sent-username <removed> password 7 <removed>
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.200.50 80 interface Dialer1 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 192.168.200.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 192.168.200.0 0.0.0.255 any
access-list 111 permit tcp any any eq www
access-list 111 deny ip host 0.0.0.0 any
access-list 111 deny ip host 255.255.255.255 any
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 deny ip 127.0.0.0 0.255.255.255 any
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
end

[NightStalker]

Quote:

Originariamente inviato da MircoT
Grazie mille delle dritte
Ieri mi sono fatto una navigata sul sito Cisco alla ricerca di informazioni base sulle acl... e mi sono accorto che nelle acl la subnet va specificata al contrario, o meglio va specificata la sua complementare... così non riuscivo a capire perchè dicevi di fare l'antispoofing sugli indirizzi 10.0.0.0 0.0.0.255...
Io so che la classe privata 10 è di tipo A, cioè 10.x.y.z/255.0.0.0...
Probabilmente un tuo errore di battitura?

perchè per specificare le subnet nelle access-list non si usa il metodo standard, ma le wildcard mask... è il bello è che sta cosa è scritta a caratteri cubitali sul sito Cisco nelle guide alle access-list... quindi si 10.0.0.0 255.0.0.0 diventa 10.0.0.0 0.0.0.255 nelle access-list, e non è un errore di battitura perchè bisogna proprio scrivere

Quote:

access-list 111 deny ip 10.0.0.0 0.0.0.255 any

Quote:

Originariamente inviato da MircoT
Anyway, ho impostato l'antispoofing sulle classi private includendo tutti gli indirizzi e mettendo le access list relative dopo quella che permette l'ingresso dei pacchetti verso il server web... dovrebbe andare bene.

Il "deny any any" lo vedo in quasi tutte le access list... però effettivamente, per come funzionano, sembra abbastanza inutile... tranne, come giustamente dici tu, per vederne il log...

Per la VPN metterò l'indirizzo del vpn3000 dell'ufficio


Fino ad ora ho ragionato "sulla carta"... cioè non ho ancora provato a modificare a mano la configurazione... meglio "capirne un pochetto" prima di fare danni...
Ma ora è ora che cominci a ravanare sul serio sulla bestia


Ancora grazie dell'aiuto!


Ciauzzz!

qualunque cosa tu faccia, non puoi fare "danni", a meno che non fai "erase flash" (e anche in quel caso, c'è sempre il rommon a pararti le chiappette). divertiti, con quel router di esperimenti ne puoi fare a bizzeffe (peccato che ho notato sul Cisco features navigator che a parità di release sull'837 al contrario dell'827H non c'è supporto per l'IPv6... scelte Cisco, mah...)

[MircoT]

Quote:

Originariamente inviato da NightStalker
perchè per specificare le subnet nelle access-list non si usa il metodo standard, ma le wildcard mask... è il bello è che sta cosa è scritta a caratteri cubitali sul sito Cisco nelle guide alle access-list... quindi si 10.0.0.0 255.0.0.0 diventa 10.0.0.0 0.0.0.255 nelle access-list, e non è un errore di battitura perchè bisogna proprio scrivere

Infatti nel sito Cisco trovo scritto che:
The ACL inverse mask can also be determined by subtracting the normal mask from 255.255.255.255. In the
following example, the inverse mask is determined for network address 172.16.1.0 with a normal mask of
255.255.255.0.
255.255.255.255 − 255.255.255.0 (normal mask) = 0.0.0.255 (inverse mask)


Quindi la subnet inversa della classe 10.0.0.0/255.0.0.0 è 0.255.255.255
e la riga di antispoofing diventa "access-list 111 deny ip 10.0.0.0 0.255.255.255 any"

Oppure mi sfugge qualcosa della frase riportata sopra...

L'IPv6 non è supportato dal 837? Ma pork... Mi pareva di aver letto che l'837 era la diretta evoluzione del 827... Vabbeh... Pazienza...


Grazie dell'aiuto!
Ciauzzzz!

p.s.: ho visto che nelle access-list dei PIX le subnet vanno messe nel modo normale... della serie: complichiamoci la vita!

[NightStalker]

Quote:

Originariamente inviato da MircoT
Infatti nel sito Cisco trovo scritto che:
The ACL inverse mask can also be determined by subtracting the normal mask from 255.255.255.255. In the
following example, the inverse mask is determined for network address 172.16.1.0 with a normal mask of
255.255.255.0.
255.255.255.255 − 255.255.255.0 (normal mask) = 0.0.0.255 (inverse mask)


Quindi la subnet inversa della classe 10.0.0.0/255.0.0.0 è 0.255.255.255
e la riga di antispoofing diventa "access-list 111 deny ip 10.0.0.0 0.255.255.255 any"

Oppure mi sfugge qualcosa della frase riportata sopra...

hai ragione sono proprio rincoglionito... non mi ero accorto di aver sbagliato a scrivere :|

cmq si: 10.0.0.0/0.255.255.255
172.16.0.0/0.15.255.255
192.168.0.0/0.0.255.255
127.0.0.0/0.255.255.255

e poi magari droppa pure host 0.0.0.0 e host 255.255.255.255 e range multicast (se non ti serve, solo nel caso di streaming, videoconferenza etc etc) 224.0.0.0 15.255.255.255

Quote:

Originariamente inviato da MircoT
L'IPv6 non è supportato dal 837? Ma pork... Mi pareva di aver letto che l'837 era la diretta evoluzione del 827... Vabbeh... Pazienza...


Grazie dell'aiuto!
Ciauzzzz!

p.s.: ho visto che nelle access-list dei PIX le subnet vanno messe nel modo normale... della serie: complichiamoci la vita!

837: ma è una diretta evoluzione, solo che han deciso che l'IPv6 evidentemente non è così imminente, e non serve implementarlo sui prodotti di fascia bassa. l'827H oltre tutto è pure arrivato a end of sale.

PIX: vabhe il PIX è un altro mondo, deriva da una società acquisita dalla Cisco nel '95 e anche se somiglia sempre piu allo IOS, il suo sistema operativo si chiama Finesse (o almeno così si chiamava).