access-lists per utenza domestica
Max_11
Vi incollo la running config (che premetto funziona). Tuttavia, senza che
io facessi nulla, risultano aperte tutte le porte che invece dovrebbero
restare chiuse (emule, IM ecc ecc).
Come posso fare per bloccare *tutte* le porte che non mi servono, e inceve
aprire a manina solo quelle che servono?
So che bisogna agire con le ACL, ma perdonatemi, non le ho mai usate e non
so neanche da che parte si inizia. So che esistono diverse guide si
Internet, ma non sono affato chiare.
Per esempio, con una run come quella che vi ho incollato, come posso
chiudere tutte le porte e, appunto, aprire solo quelle di skype o emule?
grazie, saluti!
Current configuration : 5154 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router01
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 xxxxxxxx
!
no aaa new-model
memory-size iomem 25
!
crypto pki trustpoint TP-self-signed-xxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxxx
!
revocation-check none
rsakeypair TP-self-signed-xxxxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxx
certificate self-signed 01
xxxxx xxxxx xxxxx xxxxx
xxxxx xxxxx xxxxx xxxxx
quit
dot11 syslog
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.1 10.10.10.15
!
ip dhcp pool LAN
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 208.67.222.222 208.67.220.220
lease 0 12
!
ip dhcp pool STAMPANTE
host 10.10.10.4 255.255.255.0
hardware-address 0000.85c4.4048
lease infinite
!
ip dhcp pool DESKTOP
host 10.10.10.3 255.255.255.0
client-identifier 001b.fc65.ee2e
lease infinite
!
!
ip cef
ip name-server 62.128.81.14
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip ddns update method ddns
HTTP
add
http://xxxxxxxx:xxxx...@members.dyndns.org/nic/updatesystem=dyndns&hostname=<h>&myip=<a>
interval maximum 0 6 0 0
!
!
!
!
!
username admin privilege 15 password 7 xxxxxxxx
!
!
!
archive
log config
hidekeys
!
!
interface ATM0
description Interfaccia WAN Internet - Connessione ADSL
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode ansi-dmt
hold-queue 224 in
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description Interfaccia LAN interna - Gateway predefinito verso Internet
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
description Interfaccia virtuale - ADSL Alice
ip ddns update hostname xxxxxxxx.dyndns.org
ip ddns update ddns
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap chap callin
ppp pap sent-username aliceadsl password 7 xxxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation pptp-timeout 420
ip nat translation icmp-timeout 1
ip nat translation max-entries 1000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
[...]
--
questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad ab...@newsland.it
Lorenzo Mainardi
> Ciao a tutti! Sto configurando il mio nuovo cisco 877 con alice adsl..
> Vi incollo la running config (che premetto funziona). Tuttavia, senza che
> io facessi nulla, risultano aperte tutte le porte che invece dovrebbero
> restare chiuse (emule, IM ecc ecc).
> Come posso fare per bloccare *tutte* le porte che non mi servono, e inceve
> aprire a manina solo quelle che servono?
> So che bisogna agire con le ACL, ma perdonatemi, non le ho mai usate e non
> so neanche da che parte si inizia. So che esistono diverse guide si
> Internet, ma non sono affato chiare.
> Per esempio, con una run come quella che vi ho incollato, come posso
> chiudere tutte le porte e, appunto, aprire solo quelle di skype o emule?
> grazie, saluti!
Prima di tutto: quali servizi vuoi permettere e a chi?
Max_11
> Prima di tutto: quali servizi vuoi permettere e a chi?
Per ora, per l'esempio, emule (che usa porte tcp 4663 e udp 4673)
Con un maip di esempi posso poi andare avanti io, cosi da capire il
meccanismo..
Per esempio, perch� senza acl settate (quindi in teoria � tutto chiuso)
riesco a fare "tutto"? Oppure non settare le acl significa lasciare tutto
aperto?
Grazie, ciao
Ciccio
> Per esempio, perch� senza acl settate (quindi in teoria � tutto chiuso)
> riesco a fare "tutto"? Oppure non settare le acl significa lasciare tutto
> aperto?
La seconda che hai detto. Non � un firewall per cui, non setti nulla,
hai una regola implicita di deny all da outside verso inside.
Ciao
Lorenzo Mainardi
> Lorenzo Mainardi ha scritto:
>
> > Prima di tutto: quali servizi vuoi permettere e a chi?
>
> Per ora, per l'esempio, emule (che usa porte tcp 4663 e udp 4673)
> Con un maip di esempi posso poi andare avanti io, cosi da capire il
> meccanismo..
access-list blockemule deny tcp any any eq 4663
access-list blockemule deny udp any any eq 4673
e poi:
access-group blockemule in interface latuainterfaccia
Occhio che però se ti cambiano porta emule passa. Per bloccare emule
sempre dovresti far inspection, ma non credo che il tuo router la
supporti
>
> Per esempio, perchè senza acl settate (quindi in teoria è tutto chiuso)
Ciccio
>>> Prima di tutto: quali servizi vuoi permettere e a chi?
>> Per ora, per l'esempio, emule (che usa porte tcp 4663 e udp 4673)
> access-list blockemule deny tcp any any eq 4663
> access-list blockemule deny udp any any eq 4673
Caso mai,
access-list blockemule permit tcp any any eq 4663
access-list blockemule permit udp any any eq 4673
access-list blockemule deny ip any any
Cos� passa emule ma non il resto.
Max_11
> Caso mai,
> access-list blockemule permit tcp any any eq 4663
> access-list blockemule permit udp any any eq 4673
> access-list blockemule deny ip any any
> Cos� passa emule ma non il resto.
Ho fatto cosi:
da aggiungere alla dialer in
access-list 101 permit tcp any any eq 22
access-list 102 permit tcp host 62.128.81.14 any eq 53
access-list 102 permit udp host 62.128.81.14 any eq 53
access-list 102 permit tcp host 62.128.81.15 any eq 53
access-list 102 permit udp host 62.128.81.15 any eq 53
access-list 102 permit tcp host 208.67.222.222 any eq 53
access-list 102 permit udp host 208.67.222.222 any eq 53
access-list 102 permit tcp host 208.67.222.220 any eq 53
access-list 102 permit udp host 208.67.222.220 any eq 53
access-list 103 permit tcp any any eq 4663
access-list 103 permit udp any any eq 4673
access-list 104 permit tcp any any eq 993
access-list 104 permit tcp any any eq 587
mancano molti protocolli, per esempio skype. sul sito istituzionale viene
indicata, come porta da aprire, la 443 in uscita. cosa vuol dire? la devo
mettere sulla dialer out o dialer in?
Ma il router come ragiona? dialer out significa dalla lan verso internet?
riuscissi a capire questo meccanismo, e sarei (quasi) a cavallo.
In sostanza, oltre alle acl, non riesco a comprendere il ragionamento che
viene fatto sui flussi dei pacchetti..
Qualcuno riesce a spiegarmi? grazie mille!
Lorenzo Mainardi
AH, certo...Avevo capito che volesse bloccarlo :-)
Lorenzo Mainardi
> Ciccio ha scritto:
>
> > Caso mai,
> > access-list blockemule permit tcp any any eq 4663
> > access-list blockemule permit udp any any eq 4673
> > access-list blockemule deny ip any any
>
> Ho fatto cosi:
>
> da aggiungere alla dialer in
> access-list 101 permit tcp any any eq 22
> access-list 102 permit tcp host 62.128.81.14 any eq 53
> access-list 102 permit udp host 62.128.81.14 any eq 53
> access-list 102 permit tcp host 62.128.81.15 any eq 53
> access-list 102 permit udp host 62.128.81.15 any eq 53
> access-list 102 permit tcp host 208.67.222.222 any eq 53
> access-list 102 permit udp host 208.67.222.222 any eq 53
> access-list 102 permit tcp host 208.67.222.220 any eq 53
> access-list 102 permit udp host 208.67.222.220 any eq 53
> access-list 103 permit tcp any any eq 4663
> access-list 103 permit udp any any eq 4673
> access-list 104 permit tcp any any eq 993
> access-list 104 permit tcp any any eq 587
>
Sarebbe meglio non postare gli indirizzi pubblici
> mancano molti protocolli, per esempio skype. sul sito istituzionale viene
> indicata, come porta da aprire, la 443 in uscita. cosa vuol dire? la devo
> mettere sulla dialer out o dialer in?
Skype è una gran brutta bestia da bloccare: è fatto in modo che passi
attraverso la porta 443 (https) e quindi rischieresti di chiudere
fuori anche la navigazione e un sacco di altri servizi.
Mi sembra che le ultime versioni di ASA possano fare deep inspection
di Skype, ma il tuo router non credo.
Per bloccarlo ci sono diversi metodi, ma richiedono un dominio Active
Directory o un proxy, solo con un router (di fascia bassa) credo che
non sia possibile.
> Ma il router come ragiona? dialer out significa dalla lan verso internet?
> riuscissi a capire questo meccanismo, e sarei (quasi) a cavallo.
> In sostanza, oltre alle acl, non riesco a comprendere il ragionamento che
> viene fatto sui flussi dei pacchetti..
>
> Qualcuno riesce a spiegarmi? grazie mille!
>
Il ruoter ragiona così:
1)crei l'access-list per bloccare e/o permettere il traffico
desiderato
2)la applichi a l'interfaccia in questione: la puoi applicare sia in
ingresso che in uscita. Di solito si consiglia di bloccare i pacchetti
il più vicino possibile alla sorgente.
Uno show interface summary che dice?
Max_11
> Sarebbe meglio non postare gli indirizzi pubblici
Ops sorry
> Skype � una gran brutta bestia da bloccare: � fatto in modo che passi
> attraverso la porta 443 (https) e quindi rischieresti di chiudere
> fuori anche la navigazione e un sacco di altri servizi.
> Mi sembra che le ultime versioni di ASA possano fare deep inspection
> di Skype, ma il tuo router non credo.
> Per bloccarlo ci sono diversi metodi, ma richiedono un dominio Active
> Directory o un proxy, solo con un router (di fascia bassa) credo che
> non sia possibile.
Io infatti voglio usare skype. Forse prima mi sono espresso male.
Intendevo bloccare un protocollo solo per capire come agire su di esso..
La mia idea � quella di sbloccare quello che server, e alla fine mettere
un deny any any, sia tcp che udp.
> Il ruoter ragiona cos�:
> 1)crei l'access-list per bloccare e/o permettere il traffico
> desiderato
> 2)la applichi a l'interfaccia in questione: la puoi applicare sia in
> ingresso che in uscita. Di solito si consiglia di bloccare i pacchetti
> il pi� vicino possibile alla sorgente.
> Uno show interface summary che dice?
Sotto ti allego il comando che hai chiesto.
Sto esplodendo di domande.. vedo di riassumere:
skype a parte, se io voglio navigare che porte devo aprire? Non la 80
ovviamente (oppure non solo) perch� non ho un server web (non ancora),
quindi devo aprire porte random che viaggino sul protocollo http/https? e
dove collocare questa acl? oppure cos'altro?
Non esiste un sito/white paper o non so cos'altro pieno zeppo di esempi?
Non lavorandoci su solo cosi ho la possibilit� di capire! (oppure qualche
anima pia si mette li e mi crea tutte le regole aggratis! ;))
Ecco il comando:
Router01#sh interfaces summary
*: interface is up
IHQ: pkts in input hold queue IQD: pkts dropped from input queue
OHQ: pkts in output hold queue OQD: pkts dropped from output queue
RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec)
TXBS: tx rate (bits/sec) TXPS: tx rate (pkts/sec)
TRTL: throttle count
Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL
------------------------------------------------------------------------
* ATM0 0 0 0 20 237000 14 2000 7 0
* Dialer0 0 0 0 0 237000 13 0 0 0
* FastEthernet0 0 0 0 0 4000 8 240000 14 0
FastEthernet1 0 0 0 8 0 0 0 0 0
FastEthernet2 0 0 0 8 0 0 0 0 0
FastEthernet3 0 0 0 8 0 0 0 0 0
NVI0 0 0 0 0 0 0 0 0 0
* Virtual-Access1 0 0 0 0 0 0 0 0 0
* Virtual-Access2 0 0 0 0 237000 14 1000 7 0
* Vlan1 0 0 0 0 4000 8 239000 13 0
Grazie mille, saluti
Lorenzo Mainardi
> Lorenzo Mainardi ha scritto:
>
> > Sarebbe meglio non postare gli indirizzi pubblici
>
> Ops sorry
>
> > attraverso la porta 443 (https) e quindi rischieresti di chiudere
> > fuori anche la navigazione e un sacco di altri servizi.
> > Mi sembra che le ultime versioni di ASA possano fare deep inspection
> > di Skype, ma il tuo router non credo.
> > Per bloccarlo ci sono diversi metodi, ma richiedono un dominio Active
> > Directory o un proxy, solo con un router (di fascia bassa) credo che
> > non sia possibile.
>
> Io infatti voglio usare skype. Forse prima mi sono espresso male.
> Intendevo bloccare un protocollo solo per capire come agire su di esso..
> un deny any any, sia tcp che udp.
>
> Sotto ti allego il comando che hai chiesto.
> Sto esplodendo di domande.. vedo di riassumere:
> skype a parte, se io voglio navigare che porte devo aprire? Non la 80
> ovviamente (oppure non solo) perchè non ho un server web (non ancora),
> quindi devo aprire porte random che viaggino sul protocollo http/https? e
> dove collocare questa acl? oppure cos'altro?
Bisogna conoscere per benino come funziona il TCP/IP.
Queste cose sono piuttosto complicate, ti conviene trovarti un buon
libro che le spieghi.
Comunque per far passare HTTP devi creare una regola che permetta le
connessioni verso l'esterno sulla porta 80 perchè il tuo pacchetto
avrà come source una porta >1024 e come dst la porta 80.
Idem per HTTPS: src >1024, dst =443
E così via.
Se vuoi pubblicare un server web, invece dovrai fare NAT (Network
Address Translation) cioè reindirizzare tutte i pacchetti (meglio
sarebbe le connessioni) dirette alla porta 80 dell'indirizzo pubblico
verso una porta a tua scelta (sulla quale sarà in ascolto il servizio
HTTP) del server web (che avrà un indirizzo privato ad esempio del
tipo 192.168.1.qualcosa)
> Non esiste un sito/white paper o non so cos'altro pieno zeppo di esempi?
> Non lavorandoci su solo cosi ho la possibilità di capire! (oppure qualche
> anima pia si mette li e mi crea tutte le regole aggratis! ;))
>
Io ti consiglio di farlo fare a chi sa: non si tratta di operazioni
banali; potresti mettere a repentaglio la sicurezza del sistema
informatico della tua azienda.
> Ecco il comando:
>
> Router01#sh interfaces summary
>
> *: interface is up
> IHQ: pkts in input hold queue IQD: pkts dropped from input queue
> OHQ: pkts in output hold queue OQD: pkts dropped from output queue
> RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec)
> TXBS: tx rate (bits/sec) TXPS: tx rate (pkts/sec)
> TRTL: throttle count
>
> Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL
> ------------------------------------------------------------------------
> * ATM0 0 0 0 20 237000 14 2000 7 0
> * Dialer0 0 0 0 0 237000 13 0 0 0
> * FastEthernet0 0 0 0 0 4000 8 240000 14 0
> FastEthernet1 0 0 0 8 0 0 0 0 0
> FastEthernet2 0 0 0 8 0 0 0 0 0
> FastEthernet3 0 0 0 8 0 0 0 0 0
> NVI0 0 0 0 0 0 0 0 0 0
> * Virtual-Access1 0 0 0 0 0 0 0 0 0
> * Virtual-Access2 0 0 0 0 237000 14 1000 7 0
> * Vlan1 0 0 0 0 4000 8 239000 13 0
>
> Grazie mille, saluti
>
Ok, allora puoi applicare l'access-list sull interfaccia Vlan1 (se ho
ben capito) in questo modo:
access-group blockemule in interface vlan1
Max_11
> Bisogna conoscere per benino come funziona il TCP/IP.
> Queste cose sono piuttosto complicate, ti conviene trovarti un buon
> libro che le spieghi.
> Comunque per far passare HTTP devi creare una regola che permetta le
> connessioni verso l'esterno sulla porta 80 perch� il tuo pacchetto
> avr� come source una porta >1024 e come dst la porta 80.
> Idem per HTTPS: src >1024, dst =443
Per esempio:
access-list 101 permit tcp any any eq 80 ? Da settare per� dove?
> Io ti consiglio di farlo fare a chi sa: non si tratta di operazioni
> banali; potresti mettere a repentaglio la sicurezza del sistema
> informatico della tua azienda.
Si parla del router di casa.. per cui ci sta qualche buco momentaneo :)
Lorenzo Mainardi
> access-list 101 permit tcp any any eq 80 ? Da settare però dove?
Dovresti metterla in ingresso all'interfaccia sulla quale sono attaccati
i pc di casa, quindi sulla vlan1
--
"Le opinioni dei fanatici prescindono dai fatti"
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Linux Registered User: 461615
Elia S.
non ho qui la bozza di conf ma l'ho gi� attivata con successo su bittorrent
e edonkey