static nat e access-list (lowid)

[mirio]

Se inclusa la riga (ip access-group 105 in) su ATM0.1
Alla connessione con Emule ho un lowid.

TheIrish
Esempio: ATM0.1 in, i dati che entrano da internet, Ethernet0 out, quelli che vanno verso i pc, Ethernet0 in, quelli che entrano nel router dalla LAN.

Codice: Seleziona tutto

!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
<------   (Vedi *)  Vedi (**)
!
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.121 255.255.255.248
ip nat outside
pvc 8/35
encapsulation aal5snap 
ip access-group 105 in
!
!
ip nat inside source list 25 interface ATM0.1 overload
!
!
ip nat inside source static tcp 192.168.0.100 4662 any 4662 extendable
ip nat inside source static udp 192.168.0.100 4662 any 4672 extendable
!
access-list 105 permit tcp any 192.168.0.100 eq 4662  
access-list 105 permit udp .................
access-list 105 deny ip any any
access-list 105 permit tcp any any established  Vedi (**)

...... ho ommesso la list 25 LAN ecc. 

Le prima riga della access-list 105 non so se sia correte,
per me vuol dire fai passare qualsiasi host che chiama la porta 4662 su 192.168.0.100
ma ora che sto scrivendo mi suona male bla .....
Quello che voglio capire e come usare le access-list in situazioni con SNAT

Gia che ci sono faccio notare una cosa che in questo Forum non mai visto usare, l' IP o il primo degl' IP pubblici dati da contrati di tipo interbussiness smart ecc. (non il p-t-p) su ATM0.1.
Da usare normalmente per ADSL con un solo ip.

Una cosa che riesco a fare su zyxel con una configurazione simile a quella
descritta sopra e' ip pubblico su wan inposto ip remoto che e' il p-t-p
e aggiungo manualmente la default route su ip remoto
questo fa si che se mi connetto con un terminale telnet che non supporta
il keepalives di non fare cadere in timeout la connessione se non utilzzata per tot tempo, quindi si crea una sorta di static nat.

Non ho ancora provato cosa fa il cisco ma credo che cadano .



(*)
Ho visto esempi in cui (ip access-group 105 in) e definito sia in ATM0 che in ATM0.1 secondo me non serve !?
Nella config che sto realmente provando non ho ip access-group 105 in su ATM0.

(**)
Non e' inclusa nella Config sul router.

p.s: PeerToPeer sono un buon test con un solo pc provi le connessioni client /server.

[marckalex]

Re:

Ciao,


mi permeto solo alcune sottolineature....

le acl poste sulle int WAN sono cmq un buona cosa dato che la sicurezza anche se minima è quanto mai necessaria al giorno d'oggi.

le entry SNAT io personalmente nn le faccio cosi, e ritengo che siano anche non corrette....ma sono punto di vista...io le fo così quando solo poche e e per range molto piccoli come emule...

ip nat inside source static tcp IP_PRIV TCP_PORT interface WAN_INT TCP_PORT
ip nat inside source static udp IP_PRIVA UDP_PORT interface WAN_INT UDP_PORT

per l'uso di casa credo che siano è che ok.

inoltre l'acl cosi come l'hai riportante sicuro nn va...tanto per il fatto che il pacchetto che viene da internet nn sta inviando come destination il tuo ip privato ma quello publico....quindi è piu sensato dare una cosa del genere:

access-list 105 permit tcp any host IP_TUO_PUB eq TCP_Port

se nn hai il pub statico

access-list 105 permit tcp any any eq TCP_Port

ad ogni modo io sono contrario a questo genere di ACL dato che non sfuttano a piene le potenzialità che le feature IOS d'oggi possono dare vedi lo statefull delle ver PLUS/FW che rendono le acl più snelle e dinamiche non che piu sicure...come anti spoffing ecc.


Per quanto riguarda il Point to point....è vero solo nelle adsl che proprongono l'RFC1483 routed aal5snap...tutte le altre come PPPoA e PPPoE sono ptp "finte"....passatemi in termine non mi viene meglio come spiegarlo in italiano.

See ya.

By Marckalex

[mirio]

Non capisco come ho fatto a scrivere quelle acl
Essendo in nat ip publico e' l'unico visto dall'esterno.
Comunque su IOS 12.2 credo che l'unica sia usare, le acl che hai postato.

[marckalex]

Re:


Non è detto, model di router cisco? Fash? Dram?

[mirio]

cisoc 837 poi se ti serve ti so dire flash e dram

[TheIrish]

Come al solito, ci sono delle cose che non mi tornano, ma forse sono instupidito.
La prima è:

ip address xxx.xxx.xxx.121 255.255.255.248

Quello è, immagino il primo ip pubblico di una gamma di ip, ergo, te ne hanno dati 8 (di cui 6 utilizzabili) e ti hanno dato un indirizzo p-t-p.
Infatti tu dici:

Gia che ci sono faccio notare una cosa che in questo Forum non mai visto usare, l' IP o il primo degl' IP pubblici dati da contrati di tipo interbussiness smart ecc. (non il p-t-p) su ATM0.1.

Infatti è perfettamente sbagliato utilizzare uno degli ip pubblici sulla ATM0.1 secondo il networking tradizionale. Il motivo è presto detto. Certo, funzionerebbe, ma questo non ci permetterebbe di assegnare gli altri indirizzi ip pubblici all'interno della rete per ragioni di network overlapping. So che alcuni router commerciali lo permettono, ma posso uficialmente permettermi di dire che sono router poco seri.

Esiste (volendo) una filosofia che suggerirebbe di assegnare gli indirizzi pubblici alla ATM0.1 per nattarli staticamente all'interno. E' una possibilità, ma non è molto in uso.

Morale: l'ip p-t-p andrebbe posizionato sulla atm0.1. 1 ip pubblico andrebbe invece utilizzato esclusivamente per il nat. gli altri, a piacere.

Continuiamo:
L'acl 105 è visibilmente sbagliata:

access-list 105 permit tcp any 192.168.0.100 eq 4662
access-list 105 permit udp .................
access-list 105 deny ip any any
access-list 105 permit tcp any any established Vedi (**)

in quanto la stateful inspection (established, per capirci) è messa dopo il deny ip any any. Ricordatevi che le acl vengono lette dall'alto al basso e alla prima occorezza di confronto, viene presa la decisione definitiva.
In più, mentre i dati transitano nella ATM0.1, la destinazione definitiva (192.168.0.100) è ancora ignota, mentre è nota quando transita nell'interfaccia interna. Le possibilità sono 2:
1. permetti verso qualsiasi destinazione (tanto hai una nat statica a regolare)
2. il controllo lo fai sull'interfaccia interna

Se avessi bisogno di ulteriori delucidazioni, fammi sapere

[mirio]

Quello è, immagino il primo ip pubblico di una gamma di ip, ergo, te ne hanno dati 8 (di cui 6 utilizzabili) e ti hanno dato un indirizzo p-t-p.
Infatti tu dici:

Gia che ci sono faccio notare una cosa che in questo Forum non mai visto usare, l' IP o il primo degl' IP pubblici dati da contrati di tipo interbussiness smart ecc. (non il p-t-p) su ATM0.1.

Infatti è perfettamente sbagliato utilizzare uno degli ip pubblici sulla ATM0.1 secondo il networking tradizionale. Il motivo è presto detto. Certo,
funzionerebbe, ma questo non ci permetterebbe di assegnare gli altri indirizzi ip pubblici all'interno della rete per ragioni di network overlapping.

Non userei mai una configurazione del genere avendo piu' di un indirizzo publico era solo un test per il nat, ho questo tipo di adsl per provarla
Diciamo che su ATM0.1 lo trovo giusto nel caso di un solo ip pub.

Altrimenti come rendi visibile il suddetto in una configurazione nat ?

in quanto la stateful inspection (established, per capirci) è messa dopo il deny ip any any.

Mi scuso per il disordine di questa Config.

1. permetti verso qualsiasi destinazione (tanto hai una nat statica a regolare)
2. il controllo lo fai sull'interfaccia interna <---------

Puoi farmi un esempio sulla regola (2)

Comunque sto esempio che ho postato lo scritto alle 4 di notte senza pensarci molto.

Codice: Seleziona tutto

!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.121 255.255.255.248
ip nat outside
pvc 8/35
encapsulation aal5snap
ip access-group 105 in
!
!
ip nat inside source list 25 interface ATM0.1 overload
!
!
ip nat inside source static tcp 192.168.0.100 4662 any 4662 extendable
ip nat inside source static udp 192.168.0.100 4662 any 4672 extendable
!
access-list 105 permit tcp any any established
access-list 105 permit tcp any any eq 4662 
access-list 105 permit udp .................
access-list 105 deny ip any any

...... ho ommesso la list 25 LAN ecc. 

Una cosa che riesco a fare su zyxel con una configurazione simile a quella
descritta sopra con un solo ip pubblico su wan, imposto ip remoto che e' il p-t-p
e aggiungo manualmente la default route su ip remoto.
Questo fa si che se mi connetto con un terminale telnet che non supporta
il keepalives di non fare cadere in timeout la connessione se non utilzzata per tot tempo, quindi si crea una sorta di static nat.

Come si puo ricreare la situazione su un cisco ?

[TheIrish]

Bene, se la mettiamo così diciamo che:

ip nat inside source static tcp 192.168.0.100 4662 any 4662 extendable
ip nat inside source static udp 192.168.0.100 4662 any 4672 extendable

queste due regole sono scomode:

ip nat inside source static tcp 192.168.0.100 4662 interface atm0.1 4662
ip nat inside source static udp 192.168.0.100 4672 interface atm0.1 4672

queste invece vanno molto bene.

access-list 105 permit tcp any any established
access-list 105 permit tcp any any eq 4662
access-list 105 permit udp .................
access-list 105 deny ip any any

queste vanno bene assegnate all'atm0.1 con l'aggiunta di una regola per i dns che così non passano visto che established si applica solo a TCP.
Aggiungerei una:

Codice: Seleziona tutto

access-list 105 permit udp host <ip_dns_primario> eq domain any
access-list 105 permit udp host <ip_dns_secondario> eq domain any

Poi:

Puoi farmi un esempio sulla regola (2)

E' molto semplice, in realtà. Tu scrivi esattamente le regole che ti servono. Prendiamo per esempio l'acl 105. Quello che devi fare è discriminare la destinazione come hai fatto, per esempio, se 192.168.0.100 usa il p2p:

Codice: Seleziona tutto

access-list [...]
access-list 105 permit tcp any host 192.168.0.100 eq 4662
ecc.

e poi assegnarlo ad e0 out.

Una cosa che riesco a fare su zyxel con una configurazione simile a quella
descritta sopra con un solo ip pubblico su wan, imposto ip remoto che e' il p-t-p
e aggiungo manualmente la default route su ip remoto.
Questo fa si che se mi connetto con un terminale telnet che non supporta
il keepalives di non fare cadere in timeout la connessione se non utilzzata per tot tempo, quindi si crea una sorta di static nat.

francamente non ho capito

[mirio]

Config attuale del router.

Codice: Seleziona tutto

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname lol
!
no logging buffered
!
ip subnet-zero
no ip routing
ip name-server 151.99.125.2
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
!
ip nat translation timeout 320
ip nat translation tcp-timeout 320
ip nat translation udp-timeout 240
ip nat translation finrst-timeout 30
ip nat translation dns-timeout 45
ip nat translation icmp-timeout 45
ip nat translation port-timeout 320
ip nat translation pptp-timeout 320
ip nat translation syn-timeout 320
ip nat translation max-entries 200000
!
!
!
!
!
interface Ethernet0
 ip address 10.0.0.20 255.255.0.0
 ip nat inside
 no ip route-cache
 no ip mroute-cache
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip route-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 dsl power-cutback 0
!
interface ATM0.1 point-to-point
 ip address x.x.x.x 255.255.255.248
 ip nat outside
 ip inspect myfw out
 no ip route-cache
 pvc 8/35 
 encapsulation aal5snap
 !
!
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static tcp 10.0.0.191 4662 interface atm0.1 4662
ip nat inside source static udp 10.0.0.191 4685 interface atm0.1 4685
ip nat inside source static tcp 10.10.0.191 6881 interface atm0.1 6881
!
ip classless
no ip http server
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
access-list 23 permit 10.0.0.0 0.0.255.255
access-list 102 permit ip 10.0.0.0 0.0.255.255 any
!
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4685
access-list 111 permit tcp any any eq 6881
access-list 111 permit udp any any eq 6881
access-list 111 deny ip any any
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end

Vediamo se riesco a spiegare la cosa dello Zyxel.

Codice: Seleziona tutto

 
 1. Configurazione tipo Private cioe' con nat (sua).
 2. lan                       10.0.0.1     /24
 3. sulla wan ip publico      82.82.82.121 /29
 4. su remote ip (p-t-p)      80.80.80.105 /30
 5. default gw                0.0.0.0 0.0.0.0 80.80.80.105

 6 tabella di route:
   
   net               gw              interface
   10.0.0.0          10.0.0.1        e0
   82.82.82.120      82.82.82.121    wan0
   80.80.80.104      80.80.80.105    wan1
   0.0.0.0           80.80.80.105    wan1

Accade questo le connessioni tipo telnet non cadono .

[marckalex]

Re:

Mi permetto di fare una domanda alla tua conf.

SNAT su ip nat inside source static tcp 192.168.0.191 4662 interface atm0.1 4662

quando hai una lan

interface Ethernet0
ip address 10.0.0.20 255.255.0.0

???why?

altra cosa, usi l'inspect sull'atm per i pacchetti che escono...????....caso mai usi questo sistema per quelli entramti quando hai un servizio che viene raggiunto da internet vs la tua lan.

questo cmd non servono lato end :

atm vc-per-vp 64
dsl power-cutback 0

il perche di un /29 sulla atm mi lascia ancora perplesso...cmq sono le stranezze dei gestori...tipo telecom italia vs smart e dintorni.

Tutto qui.

^_^

By Marckalex

[marckalex]

Re:

Per la storia del telnet che cade...alza i timeout nella VTY

[mirio]

ops non ho fatto in tempo a carreggerla

Esatto telecomz ti da molte volte il punto punto su /30 e anche se hai un ip su /29 in realta credo funzioni anche con /32 su entrambe

atm vc-per-vp 64 e
dsl power-cutback 0 li mette lui ongi volta che faccio copia running-config o startup-config su tftp:

per i myfm out avevo trova un esempio cosi ba
quello che volevo controllare erano le connessione in uscita se le metto in e0 e' corretto ?

[marckalex]

Re:


Se ritieni che il controllo si necessario mettilo in sulla eth0.

Telecom nn finirà mai di stupirmi per queste trovate diaboliche. Cmq commettono stranezze e/o cazzate anche ai livelli di core...quindi non c'è da meravigliarsi.


Per il telnet mi è venuto il dubbio che intendevi verso altri apparati e non rif. al tuo router.E' così?

[mirio]

Sinceramente non mi sono procupato di cosa fossero que controlli poi imparero' pure quelli.

Si telnet verso server esterni.

un nostro cliente che lavora su as400 usano terminale ibm telnet senza possibilita' di keepalives.

Credo ma sicuramente dico na cazzata che si crea una sorta di nat statica su la parte atm.