configurazione decente per adsl tin.it con 837

[zed]

ModTheIrish: scusa lo spostamento, ma riceverai molta più attenzione nel forum delle configurazioni

Se pensavate che avessi abbandonato il foro vi dovrete ricredere .

Come ho scritto qualche post piu' in giu' mi e' arrivato il cisco 837 che ho configurato nella maniera piu' semplice via web (che ho poi ovviamente disabilitato)

vi chiedo un aiuto per configurare meglio il router e capirci qualcosa in piu' (ho gia' fatto innumerevoli ricerche su inet)

Spiego ora come vorrei io la mia rete:
ip interni statici (no dhcp)
192.168.1.1 router
192.168.1.2 pc1 (winzoz xp)
192.168.1.3 ricev. satellitare
192.168.1.4 console/lettore dvd
192.168.1.5 pc2 (sistema *nix)

Porte in ascolto:
-porta [FTP 20, 21] [eMule 4662TCP, 4672UDP] [bittorrent 6881] PC1

-porta [ssh 22] PC2

in allegato posto il mio "sh ru" (che penso faccia pena, ma gli esperti siete voi)

vi chiedo, inoltre: per modificare e cancellare le righe ridondanti mi basta modificare il file (su macchina win) e mandarlo via tftp? oppure per cancellare le righe inutile devo anteporre il "no" davanti?

grazie per la pazienza

[tonycimo]

inserisci queste linee se vuoi solo quei 5 indirizzi statici:
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
se non vuoi il dhcp:
no ip dhcp pool CLIENT
no ip dhcp excluded-address 192.168.1.1
no ip dhcp excluded-address 192.168.1.2
no ip dhcp excluded-address 192.168.1.5

poi: ti serve a qualche cosa l'indirizzo secondario: 10.10.10.1?
pe cancellare la conf devi anteporre il no

[penguinsclaws]

si, questo è un passo avanti. non scordarti però di costruire un firewall perché cosi' sei scoperto.

[zed]

grazie ad entrambi per le risposte.

ho modificato la conf (in allegato): cosa ne pensate? ha senso?
ho seguito i consigli di entrambi e ho inserito il FW (da interfaccia web, poi modificato eliminando la parte di forward porte netbios che cisco mette di default (:x????) e ho eliminato il dhcp e il secondo indirizzo 10.*....


ora:
ho ancora 3 quesiti:

il primo: dove posso trovare info sulle access-list (leggasi: il numero dalla AL 111 ad esempio cosa significa?)

poi, l'IOS che ho installato e' una versione PLUS [c837-k9o3sy6-mz.123-8] solo che non vedo comandi per l'IPv6: necessita di qualche comando di attivazione o cosa?

per ultimo (poi basta, lo giuro ): il discorso PING; e' corretto lasciare _piena_ liberta' e quindi porta aperta o bisogna mettere qualche AC che permetta solo il ping in risposta ad una richiesta?

scusate per le troppe domande, ma odio fare copia-incolla senza capire nulla di quello che ho applicato.

grazie

P.S. per TheIrish, the mod: sorry ma avevo sbagliato sezione

[TheIrish]

Si, non mi sembra male, anche se ci si può lavorare un po'.
Per esempio:

Codice: Seleziona tutto

access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps

perché? Ti serve sul serio?
Poi... non riesco a capire come i tuoi utenti possano... per esempio, navigare su un sito internet. Tu hai abilitato determinate porte ben precise, ma un browser apre una porta a caso superiore alla 1023 per accedere ad un sito.
Che ne dici, prima del deny ip any any di aggiungere un:

Codice: Seleziona tutto

access-list 111 permit tcp any any established

Questo comando sta a significare: tutto quello che è stato richiesto dalla LAN, può entrare.
Poi:

Codice: Seleziona tutto

ip inspect name myfw tftp timeout 30

TFTP? mmm... e per cosa?
Poi, a cosa ti servono:

Codice: Seleziona tutto

access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723

In più, ci potrebbero essere un paio di notazioni "stilistiche" particolarmente utili, ma forse è meglio che vediamo di ripulire quello che già c'è.
Per quanto riguarda gli ICMP, l'ideale è che il router di frontiera (come nel tuo caso) riceva gli echo (ping) e risponda echo-reply, nulla di più e senza girarli verso alcuna macchina interna, ma per ottenere questo in maniera indiscutibilmente non-raggirabile sono necessarie quelle "notazioni stilistiche" di cui sopra.

Per finire, sto lavorando su un tutorial sulle ACL, abbiate un po' di pazienza, so che ci sto mettendo un'eternità. Eccetto questo, google è tuo amico

[zed]

Grazie TheIrish ho provveduto a mettere in pratica i tuoi preziosi consigli:

Codice: Seleziona tutto

no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip ips po max-events 100
no ftp-server write-enable

Codice: Seleziona tutto

logging trap debugging
logging 192.168.1.2
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 6881
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any established
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit

ora, se hai tempo e voglia possiamo passare alle note stilistiche

P.S. ho ritenuto opportuno spulciando qui e la' inserire anche per il file sharing le seguenti regole (infatti dopo un giorno e mezzo circa non si riusciva a navigare (troppe NAT, ho letto):

Codice: Seleziona tutto

ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation max-entries 6000

P.S. Google l'ho sto gia' utilizzando molto per le ricerche ma un documento in ita fatto da un maestro del cisco world, sulle ACL sarebbe moooolto apprezzato

[thanks in advance]

[TheIrish]

Sto lavorando su un tutorial sulle ACL... da ormai troppo tempo. Il problema è che è un argomento che, se viene trattato superficialmente, rischia di essere soggetto a malintesi clamorosi. Vi prego di avere ancora un po' di pazienza

[Sasami]

Aspettiamo fiduciosi

[|Dr_AXIA|]

Sto lavorando su un tutorial sulle ACL... da ormai troppo tempo. Il problema è che è un argomento che, se viene trattato superficialmente, rischia di essere soggetto a malintesi clamorosi. Vi prego di avere ancora un po' di pazienza