Ping da Esterno verso Router: Ok. da Router verso LAN:KO

[zed]

Ciao a tutti

leggendo qui sul foro mi sembra che si consigliasse per il corretto funzionamento dei software della rete e per una sicurezza discreta il discorso citato nel subject.

adesso riporto parte della mia config ( che e' quella di default riguardo gli ICMP)

e vi chiedo come si puo' modificare in modo che funga nel modo descritto in precedenza: tenendo conto che sul pc 192.168.1.2 girano emule e un server ftp (il mulo potrebbe aver bisogno dei ping??)

come al solito: grazie

Codice: Seleziona tutto

no ip http server
no ip http secure-server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation max-entries 6000
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.2 6881 interface Dialer1 6881
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer1 4662
ip nat inside source static udp 192.168.1.2 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.1.5 22 interface Dialer1 22
ip nat inside source static tcp 192.168.1.2 21 interface Dialer1 21
!
!
logging trap debugging
logging 192.168.1.2
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 6881
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any established
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!

[TheIrish]

Questa ACL su che interfaccia è applicata e in che verso?

[zed]

hai ragione, Irish: sono uno stolto:

e' applicata alla Dialer1 in ingresso (almeno cosi' credo di aver capito)

Codice: Seleziona tutto

!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer remote-name redback
 dialer-group 1
 ppp authentication pap chap callin
 ppp chap hostname XXXXXXXXXXXXXX
 ppp chap password 7 XXXXXXXXXXXXXXXX
 ppp pap sent-username XXXXXXXXXXXXX  password 7 XXXXXXXXXXXXX
 ppp ipcp dns request
 ppp ipcp wins request
!

[MrCisco]

Allora non è l'unica ACL nel router
Devi postare le acl applicate a ethernet 0 out ed eventualmente in (se c'è)

[zed]

eccomi: visto che non mi so spiegare posto l'intera conf (running)

abbiate pazienza

[MrCisco]

Quindi, tutto funziona come un fuso, tranne per il fatto che dal router non riesci a pingare la lan?
Ti dirò, dalla configurazione che hai postato mi vien da pensare che il tuo problema non sia da localizzare nel router. Non c'è nessun motivo perché gli echo-reply non tornino al router... amesso che arrivino ai client.
Morale, sospetto fortemente che sui client della tua lan ci siano firewall tipo kerio o zonealarm o che abbiano il firewall di windows xp abilitato. Non vedo altri motivi possibili.

[zed]

no MrCisco

io vorrei (se ne parlava qui sul foro) che i ping fatti sul mio IP esterno raggiungessero il router senza essere NATtate, quindi dovrebbe essere il router a rispondere ai ping; a meno che i ping non provengano dalle macchine interne allora e solo allora il router dovrebbe far nattare il reply verso i "mittenti"


leggendo qui sul foro se ne parlava e facendo un po' di ragionamenti mi sembra un buon espediente per evitare certi "giochetti"...

che ne dite?

[MrCisco]

Oops, non avevo capito proprio niente!
Mettiamola così. Ora come ora, la tua configurazione fa in modo che il router risponda correttamente agli icmp. NULLA viene passato ai client, e fin qui, tutto bene.
Il modo migliore per far arrivare ai client solo gli icmp "giusti" (quelli in risposta ad una tua richiesta) è utilizzare ip inspect.
Nella tua configurazione, hai già usato ip inspect, ma presumo con poco profitto, visto che hai applicato le regole in senso opposto
Tutto quello che devi fare, quindi è aggiungere alle tue attuali regole di inspect quello che segue:

Codice: Seleziona tutto

ip inspect name myfw icmp

ma soprattutto cambiare il verso dell'ispezione!
Nel tuo dialer1 leggo:

ip inspect myfw out

elimina la riga con no ip inspect myfw out e dagli:

Codice: Seleziona tutto

ip inspect myfw in

visto che devi controllare i dati che entrano, non quelli che escono
con questo, dovresti essere a posto

[zed]

mi sa che se c'e' uno che non ha capito nulla sono io


grazie MrCisco, ma penso di lasciiare cosi' com'e' il discorso ping. Mi va bene che sia il router a rispondere sempre ai ping senza nattare nulla.

ma soprattutto cambiare il verso dell'ispezione!
Nel tuo dialer1 leggo:

Citazione:
ip inspect myfw out

elimina la riga con no ip inspect myfw out e dagli:
Codice:
ip inspect myfw in

questo e' il settaggio di default fatto via web...
a quanto ho capito in questo modo [ip inspect myfw out] il router filtrerebbe solo i dati in uscita; e se senza cancellare queata linea aggiungessi (come da te suggerito) [ip inspect myfw in] sarebbe ridondante o cosa?

grazie

[TheIrish]

Calma.
mrCisco ti ha suggerito di aggiungere quella riga al tuo ip inspect per fare in modo che la tua lan possa pingare l'esterno e ricevere risposta. Ora come ora, comunque è il router a rispodere ai ping provenienti dall'esterno. Quello suggerito da mrCisco era un "add-on" che per di più a te non serve nemmeno, visto il posizionamento delle tue acl. Quindi, ti consiglio di lasciar stare quell'ip inspect suggerito da mrCisco, in quanto non cambierebbe lo stato di fatto delle cose. Va bene così.

Per quanto riguarda la domanda su ip inspect in o out, qui devo dare ragione a mrCisco, e per spiegarlo dovrò fare un preambolo.

Esistono alcuni protocolli per i quali la stateful inspection ([...] established) non funziona correttamente a causa della loro struttura.
Alcuni di questi: h323, ftp, realaudio, cuseeme ecc.
La tua access-list posizionata sul dialer1 permette l'accesso tramite alcune porte e apre dinamicamente le porte necessarie per far passare il traffico che la tua LAN ha richiesto.
Cosa succede se, per esempio, richiedi una videoconferenza (h323)? semplicemente non funziona, perché la struttura del protocollo è incompatibile con i requisiti perché la stateful inspection funzioni. Morale, non lascia entrare i dati da te richiesti!
A questo scopo, ci viene in aiuto ip inspect che lavorando su un layer di astrazione più alto, è in grado di aprire in tempo reale le porte che servono.

Ecco perché il verso della tua ispezione è errata. L'ispezione deve avvenire per i dati entranti, di modo che ip inspect possa aprire le porte necessarie perché i protocolli complessi funzionino. Quindi, quello che ti serve è ip inspect myfw in.
Il senso opposto (ip inspect myfw out) servirebbe nel caso in cui tu filtrassi i dati in uscita... ma non mi sembra tu lo faccia.

[zed]

grazie per il chiarimento TheIrish.

la modifica e' stata fatta.

a volte mi chiedo pero' come mai i settaggi di default cisco (fatti via web) siano cosi' "leggeri".
rimembro che una delle prime cose che ho dovuto fare (facendo molte ricerche su i.net in quanto non sapevo Come Fare) e' stato l'abolizione di porte aperte molto pericolose... un nome? netbios. poi voi qui mi avete fatto notare che anche altre erano inutili per non dire dannose e allora sono andato avanti a cancellare acl e affini...