Pagina 1 di 1
configurazione decente per adsl tin.it con 837
Inviato: ven 11 feb , 2005 10:36 am
da zed
ModTheIrish: scusa lo spostamento, ma riceverai molta più attenzione nel forum delle configurazioni
Se pensavate che avessi abbandonato il foro vi dovrete ricredere
.
Come ho scritto qualche post piu' in giu' mi e' arrivato il cisco 837 che ho configurato nella maniera piu' semplice via web (che ho poi ovviamente disabilitato)
vi chiedo un aiuto per configurare meglio il router e capirci qualcosa in piu' (ho gia' fatto innumerevoli ricerche su inet)
Spiego ora come vorrei io la mia rete:
ip interni statici (no dhcp)
192.168.1.1 router
192.168.1.2 pc1 (winzoz xp)
192.168.1.3 ricev. satellitare
192.168.1.4 console/lettore dvd
192.168.1.5 pc2 (sistema *nix)
Porte in ascolto:
-porta [FTP 20, 21] [eMule 4662TCP, 4672UDP] [bittorrent 6881] PC1
-porta [ssh 22] PC2
in allegato posto il mio "sh ru" (che penso faccia pena, ma gli esperti siete voi)
vi chiedo, inoltre: per modificare e cancellare le righe ridondanti mi basta modificare il file (su macchina win) e mandarlo via tftp? oppure per cancellare le righe inutile devo anteporre il "no" davanti?
grazie per la pazienza
Inviato: ven 11 feb , 2005 11:56 am
da tonycimo
inserisci queste linee se vuoi solo quei 5 indirizzi statici:
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
se non vuoi il dhcp:
no ip dhcp pool CLIENT
no ip dhcp excluded-address 192.168.1.1
no ip dhcp excluded-address 192.168.1.2
no ip dhcp excluded-address 192.168.1.5
poi: ti serve a qualche cosa l'indirizzo secondario: 10.10.10.1?
pe cancellare la conf devi anteporre il no
Inviato: ven 11 feb , 2005 3:39 pm
da penguinsclaws
si, questo è un passo avanti. non scordarti però di costruire un firewall perché cosi' sei scoperto.
Inviato: lun 14 feb , 2005 6:06 pm
da zed
grazie ad entrambi per le risposte.
ho modificato la conf (in allegato): cosa ne pensate? ha senso?
ho seguito i consigli di entrambi e ho inserito il FW (da interfaccia web, poi modificato eliminando la parte di forward porte netbios che cisco mette di default (:x????) e ho eliminato il dhcp e il secondo indirizzo 10.*....
ora:
ho ancora 3 quesiti:
il primo: dove posso trovare info sulle access-list (leggasi: il numero dalla AL 111 ad esempio cosa significa?)
poi, l'IOS che ho installato e' una versione PLUS [c837-k9o3sy6-mz.123-8] solo che non vedo comandi per l'IPv6: necessita di qualche comando di attivazione o cosa?
per ultimo (poi basta, lo giuro
): il discorso PING; e' corretto lasciare _piena_ liberta' e quindi porta aperta o bisogna mettere qualche AC che permetta solo il ping in risposta ad una richiesta?
scusate per le troppe domande, ma odio fare copia-incolla senza capire nulla di quello che ho applicato.
grazie
P.S. per TheIrish, the mod: sorry ma avevo sbagliato sezione
Inviato: lun 14 feb , 2005 6:28 pm
da TheIrish
Si, non mi sembra male, anche se ci si può lavorare un po'.
Per esempio:
Codice: Seleziona tutto
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
perché? Ti serve sul serio?
Poi... non riesco a capire come i tuoi utenti possano... per esempio, navigare su un sito internet. Tu hai abilitato determinate porte ben precise, ma un browser apre una porta a caso superiore alla 1023 per accedere ad un sito.
Che ne dici, prima del
deny ip any any di aggiungere un:
Questo comando sta a significare: tutto quello che è stato richiesto dalla LAN, può entrare.
Poi:
TFTP? mmm... e per cosa?
Poi, a cosa ti servono:
Codice: Seleziona tutto
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
In più, ci potrebbero essere un paio di notazioni "stilistiche" particolarmente utili, ma forse è meglio che vediamo di ripulire quello che già c'è.
Per quanto riguarda gli ICMP, l'ideale è che il router di frontiera (come nel tuo caso) riceva gli echo (ping) e risponda echo-reply, nulla di più e senza girarli verso alcuna macchina interna, ma per ottenere questo in maniera indiscutibilmente non-raggirabile sono necessarie quelle "notazioni stilistiche" di cui sopra.
Per finire, sto lavorando su un tutorial sulle ACL, abbiate un po' di pazienza, so che ci sto mettendo un'eternità. Eccetto questo, google è tuo amico
Inviato: gio 17 feb , 2005 12:10 pm
da zed
Grazie TheIrish
ho provveduto a mettere in pratica i tuoi preziosi consigli:
Codice: Seleziona tutto
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip ips po max-events 100
no ftp-server write-enable
Codice: Seleziona tutto
logging trap debugging
logging 192.168.1.2
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq 22
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 6881
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any established
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
ora, se hai tempo e voglia possiamo passare alle note stilistiche
P.S. ho ritenuto opportuno spulciando qui e la' inserire anche per il file sharing le seguenti regole (infatti dopo un giorno e mezzo circa non si riusciva a navigare (troppe NAT, ho letto):
Codice: Seleziona tutto
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation max-entries 6000
P.S. Google l'ho sto gia' utilizzando molto per le ricerche ma un documento in ita fatto da un maestro del cisco world, sulle ACL sarebbe moooolto apprezzato
[thanks in advance]
Inviato: ven 18 feb , 2005 11:08 pm
da TheIrish
Sto lavorando su un tutorial sulle ACL... da ormai troppo tempo. Il problema è che è un argomento che, se viene trattato superficialmente, rischia di essere soggetto a malintesi clamorosi. Vi prego di avere ancora un po' di pazienza
Inviato: ven 18 feb , 2005 11:29 pm
da Sasami
Aspettiamo fiduciosi
Inviato: sab 19 feb , 2005 12:07 am
da |Dr_AXIA|