aiuto su cisco 837: configurazione e suggerimenti!

[andreagiorgi]

Ciao a tutti!
Questa e` la continuazione di un thread di qualche giorno fa, solo che per fortuna adesso i miei dubbi sono piu` specifici. Leggengo sul forum e le reference della cisco sono arrivato alla configurazione allegata che funziona ma non mi soddisfa!
Qualcuno potrebbe togliermi qualche dubbio e dirmi se ho commesso sviste mostruose?

1) vorrei disabilitare telnet e usare ssh per controllare il router. Inoltre ho messo la seguente ACL per controllare gli accessi a line 1 6. E` una strategia corretta?

Codice: Seleziona tutto

router(config)#line 1 6
router(config-line)#access-class 5 in

e ho definito access-list 5

Codice: Seleziona tutto

permit 192.168.1.xxx

2) potreste dirmi se le istruzioni per la ATM0 e ATM0.1 sono corrette? ho paura che sul sito della telecom non diano la configurazione piu` efficiente (per gli utenti!)

Codice: Seleziona tutto

interface ATM0
 no ip address
 no atm ilmi-keepalive
 bundle-enable
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 81.74.zzz.yyy 255.255.255.0
 ip access-group 101 in
 no ip unreachables
 ip nat outside
 pvc 8/35
  ubr 128                 !!!!!! mi riferisco
  oam-pvc manage   !!!!!!  in particolare a
  oam retry 5 5 1      !!!!! queste istruzioni
  encapsulation aal5snap
 !

3) infine, se non capito male, quando penso ad una ACL, e` giusto mettere quelle generiche come IN su ATM0.1 e quelle specifiche come OUT su eth 0, cioe` dopo il nat? mi riferisco ad esempio al caso di voler far accedere alla posta solo alcuni host della lan oppure solo il DNS della LAN ai DNS esterni.

Grazie mille per i suggerimenti!

[TheIrish]

Per quanto riguarda ssh, dipende dalla versione di ios. In linea di massima, se non sbaglio basta abilitare il protocollo di trasporto sulle linee terminali.

ubr 128

getta via. Ammeno che tu non abbia traffico classificato, puoi eliminare il comando completamente.

oam-pvc manage !!!!!! in particolare a
oam retry 5 5 1 !!!!! queste istruzioni

non so cosa telecom abbia in mente, ma in generale non ho idea perché questi comandi siano presenti!

Per quanto riguarda le ACL, direi che ci sei. Il trucco sta nella negazione delle logiche.
Sul dialer o atm0.1 scegli cosa filtrare (e il resto passa) mentre sulla ethernet0 decidi cosa far passare, anche perché solo quando un dato ha raggiunto la ethernet, sai qual è la vera destinazione.
Per capire il verso dei dati, guardali come se tu fossi il router. Quando dei dati vanno verso un pc, ESCONO dall'ethernet, no?

[andreagiorgi]

Grazie mille per le dritte!
Per abilitare ssh, se a qualcuno interessa, ho trovato su http://www.cisco.com/univercd/cc/td/doc ... /sshv1.htm che si fa cosi`:

Codice: Seleziona tutto

Router(config)#crypto key generate rsa 
Router(config)#ip ssh time-out num_sec
Router(config)#ip ssh authentication-retries num_retries

Poi bisogna abilitare almeno uno username

Codice: Seleziona tutto

username user secret 0 password

Ed ssh funziona. Pero` mi rimane un problema. Non riesco a capire come disabilitare telnet, anche perche` dopo uno

show line vty 0

appaiono tre righe "proccupanti":

Allowed input transport are telnet ssh
Allowed output transport are telnet ssh
Preferred transport is telnet

Allora ho provato a risolvere con una ACL e qui vi prego di spiegarmi dove sbaglio.
Ho definito:

Codice: Seleziona tutto

Router(config)#access-list 101 permit tcp host 192.168.1.18 host 192.168.1.254 eq 22

dove il primo e` l'unica macchina che puo` accedere al router in ssh e il secondo e` l'ip del cisco su ethernet 0.
poi ho aggiunto:

Codice: Seleziona tutto

line 1 6
access-class 101 in

Problema. Non funziona, perche` il client ssh dice host unreachable.
Allora ho dovuto trasformare l'ACL in:

Codice: Seleziona tutto

Router(config)#access-list 101 permit tcp host 192.168.1.18 any eq 22

Cosi` va pero` chiunque cosi` puo` tentare di collegarsi al router in ssh per mezzo dell'ip pubblico sull'interfaccia ATM.
Non so cosa pensare! Grazie!

[TheIrish]

Per disabilitare telnet, dovrebbe bastare fargli generare le chiavi (come giustamente hai scritto tu), porsi in line configuration mode e dargli:

Codice: Seleziona tutto

transport input ssh

Dopo di che, se vuoi aggiungere delle access-group alle linee, non sarà necessario usare il multiplexing delle porte. Puoi usare persino una acl standard, tipo

Codice: Seleziona tutto

access-list 10 permit host 192.168.1.18

e quindi dargli l'access-class. Tanto nessun altro protocollo verrà accettato
Quindi, in line configuration mode:

Codice: Seleziona tutto

access-class 10 in

Poi dici:

Allora ho dovuto trasformare l'ACL in:
Codice:
Router(config)#access-list 101 permit tcp host 192.168.1.18 any eq 22
Cosi` va pero` chiunque cosi` puo` tentare di collegarsi al router in ssh per mezzo dell'ip pubblico sull'interfaccia ATM.

Chiunque stia utilizzando l'ip 192.168.1.18 in internet?? Beh, ok pacchetti spoofati, ma non esageriamo!
Ovvio che un access-group è un buon inizio, ma non dimentichiamo di implementare delle policy di sicurezza.