configurazione firewall cisco 837

xmatrix83 · ven 10 mar , 2006 6:49 pm

Scusate per mettersi a norma di privacy è possibile configurare un cisco 837 per fare anche da firewall?

Se si qualcuno ha una configurazione da postarmi per potermela studiare ed adattare??

Non è che mi piaccione le cose a pappa fatta ma tra 15 gg scade la privacy....quindi devo sbrigarmi.....e se qualcuno ha già sbattuto su questo problema magari puo' darmi una mano....

Grazie!

xmatrix83 · ven 10 mar , 2006 10:19 pm

stavo vedendo le ip inspect... da quello che ho capito è una sorta di IDS, in pratica controllano l'origine dei pacchetti, non permettenddi far passare pacchetti dall'esterno che non siano stati richiesti dall'interno...
correggetemi se l'ho interpretata male..

Poi non ho ben capito in che verso si applicano,cioè se io faccio una cosa del genere:

ip inspect name IDS tcp
ip inspect name IDS http
ip inspect name IDS ftp
ip inspect name IDS udp
ip inspect name IDS h323
ip inspect name IDS tftp

poi qeeste le dovrei applicare alla eth0 e alla dial0

ma con quale verso??
entrambe "in"??

xmatrix83 · ven 10 mar , 2006 11:18 pm

un altra domanda....
sulla dia0 questi 2 comandi è melglio abilitarli o negarli???
ip route-cache
ip mroute-cache

mgx · sab 11 mar , 2006 12:43 am

Sei sulla buona strada con le ip inspect.
Magari mandami uno sh ver piu' uno sh run del tuo router (metti xxxx al posto delle tuo password) e vediamo cosa si puo' fare.

Cheers!

xmatrix83 · sab 11 mar , 2006 2:08 am

guarda seguendo qualche guida questa notte ho fatto questa configurazione,non so' se è efficente,spero mi possiate dare consigli per migliorarla....

show run
Building configuration...

Current configuration : 4690 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 16384 debugging
no logging console
enable password 7 00141F4A0B50060F052F
!
username xxxxxxx password 7 083140020612081E1805
ip subnet-zero
no ip source-route
!
ip dhcp pool CLIENT
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 212.216.112.112
lease 0 2
!
!
ip inspect name Firewall tcp
ip inspect name Firewall http
ip inspect name Firewall ftp
ip inspect name Firewall udp
ip inspect name Firewall h323
ip inspect name Firewall tftp
ip ssh time-out 60
ip ssh authentication-retries 2
no aaa new-model
!
!
!
!
class-map match-all class_www
match access-group 102
class-map match-all class_ftp
match access-group 102
!
!
policy-map QoS_ftp
class class_ftp
priority percent 75
class class_www
!
!
!
!
!
interface Ethernet0
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip inspect Firewall in
no cdp enable
hold-queue 100 out
!
interface ATM0
bandwidth 320
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
bandwidth 1280
ip address negotiated
ip access-group 131 in
ip nat outside
ip inspect Firewall in
service-policy output QoS_ftp
encapsulation ppp
no ip route-cache
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username xxxxxxx password 7 04560A121D2854
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.1.2 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.1.2 4672 interface Dialer0 4672
ip nat inside source static udp 192.168.1.2 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.2 5900 interface Dialer0 5900
!
logging trap debugging
logging facility local6
logging 192.168.1.2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 131 remark *** ACL PER PERMETTERE ACCESSO VIA TELNET AL ROUTER ***
access-list 131 permit tcp any any eq telnet
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 permit tcp any any gt 1023 established
access-list 131 permit udp any any gt 1023
access-list 131 remark *** ACL ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any log
access-list 131 remark *** Porte molto usate da VIRUS ***
access-list 131 deny tcp any any eq 135 log
access-list 131 deny udp any any eq 135 log
access-list 131 deny udp any any eq netbios-ns log
access-list 131 deny udp any any eq netbios-dgm log
access-list 131 deny tcp any any eq 139 log
access-list 131 deny udp any any eq netbios-ss log
access-list 131 deny tcp any any eq 445 log
access-list 131 deny tcp any any eq 593 log
access-list 131 deny udp any any eq 1433 log
access-list 131 deny udp any any eq 1434 log
access-list 131 deny ip any any dscp 1 log
access-list 131 deny udp any any eq 5554 log
access-list 131 deny udp any any eq 9996 log
access-list 131 deny udp any any eq 113 log
access-list 131 deny udp any any eq 3067 log
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
login local
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end

cisco#

mgx · sab 11 mar , 2006 11:15 am

Prova qui:

http://www.cisco.com/en/US/products/sw/ ... 445f.shtml

xmatrix83 · sab 11 mar , 2006 3:32 pm

volevo chiedervi altre 3 cose:
-è possibile proteggersi da attacchi di tipo flood??

-non sono ancora riuscito a capire se questi 2 comandi li devo abilitare...
ip route-cache
ip mroute-cache

-qui non so' se riesco a spiegarmi bene....
io ho una situazione di questo genere:

access-list 131 remark *** ACL PER PERMETTERE ACCESSO VIA TELNET AL ROUTER ***
access-list 131 permit tcp any any eq telnet
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip host 0.0.0.0 any log

se io per esempio voglio modificare "access-list 131 permit tcp any any eq telnet"

dovrei prima negarla e poi modificarla,il fatto è che dopo me la mette alla fine delle acl, io invece vorrei ripiazzarla sotto il suo remark...come posso fare??

Grazie e scusate se faccio domande stupide

TheIrish · sab 11 mar , 2006 4:23 pm

ip route-cache
ip mroute-cache

e' una forma di caching delle rotte per avere l'high-speed switching. In topologie di reti semplici, è assolutamente inutile.

-è possibile proteggersi da attacchi di tipo flood??

Sì. Ti consiglio di googlare un po' ed eventualmente tornare qui per esporre le tue considerazioni.

dovrei prima negarla e poi modificarla,il fatto è che dopo me la mette alla fine delle acl, io invece vorrei ripiazzarla sotto il suo remark...come posso fare??

Per ottenere ciò che dici, dovresti usare le named access-list.

xmatrix83 · dom 12 mar , 2006 9:34 pm

ho abilitato il loggin verso un pc,tramite queste righe:

logging trap debugging
logging facility local6
logging 192.168.1.2

Putroppo non riesco a vedere i log da quel pc, ho installato kiwi syslog daemon, non so' se è questo programma che non và bene,sapreste darmi qualche consiglio??

Ho fatto come mi dicevi, ho cercato un po' su google,per quanto riguarda la protezione dagli attacchi di tipo flood, sinceramente non sono riuscito a trovarne di comprensibili o completi,te sapresti consigliarmene uno??

xmatrix83 · lun 13 mar , 2006 11:06 pm

qualcuno sà aiutarmi per risolvere il problema dei log??

[email protected] · ven 21 lug , 2006 9:49 am

xmatrix83 ha scritto:ho abilitato il loggin verso un pc,tramite queste righe:

logging trap debugging
logging facility local6
logging 192.168.1.2

Putroppo non riesco a vedere i log da quel pc, ho installato kiwi syslog daemon, non so' se è questo programma che non và bene,sapreste darmi qualche consiglio??

Ho fatto come mi dicevi, ho cercato un po' su google,per quanto riguarda la protezione dagli attacchi di tipo flood, sinceramente non sono riuscito a trovarne di comprensibili o completi,te sapresti consigliarmene uno??

Ciao, anche io uso ki.y e funziona Benissimo..
C'e' solo da abilitare l'snmp nel kiwy

configurazione firewall cisco 837

Login • Iscriviti