Eccessivi pacchetti esterni causa blocco del router
Moderatore: Federico.Lagni
-
casper
- n00b
- Messaggi: 13
- Iscritto il: ven 08 giu , 2007 2:27 pm
Salve a tutti, da alcuni giorni ricevo in continuazione pacchetti dall'esterno verso un mio server interno che è nattato. Ne ricevo talmente tanti che il router un cisco 837 a volte si ferma e per me la navigazione diventa a volte impossibile. Premetto che ho un indirizzo IP pubblico. A questo punto mi debbo far cambiare indirizzo IP? cosa posso fare?
-
casper
- n00b
- Messaggi: 13
- Iscritto il: ven 08 giu , 2007 2:27 pm
Ho un server sul quale girano diverse virtual machine. utilizzando tcpdump osservo che ci sono una moltitudine di richieste provenienti dall'esterno. Questi pacchetti vanno ad una di queste virtual machine che ha come servizio solamente apache2. La regola NAT che utilizzo è la seguente:
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80
-
stemanca
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 21 dic , 2005 11:49 pm
- Località: Cagliari
- Contatta:
Le richieste arrivano tutte da uno stesso indirizzo IP? Non penso comunque che risolveresti facendoti cambiare IP.
Zdravo Marijo, milosti puna Gospodin s Tobom, blagoslovljena Ti medu zenama i blagoslovljen plod utrobe tvoje Isus.
-
stemanca
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 21 dic , 2005 11:49 pm
- Località: Cagliari
- Contatta:
bisognerebbe capire se si tratta di attacchi, o semplicemente di un overflow di richieste rispetto alle capacità della tua rete.
Zdravo Marijo, milosti puna Gospodin s Tobom, blagoslovljena Ti medu zenama i blagoslovljen plod utrobe tvoje Isus.
-
stemanca
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 21 dic , 2005 11:49 pm
- Località: Cagliari
- Contatta:
Se gli IP non sono troppi, prova a creare delle acl sul router
La cosa migliore cmq sarebbe avere almeno un firewall
La cosa migliore cmq sarebbe avere almeno un firewall
Zdravo Marijo, milosti puna Gospodin s Tobom, blagoslovljena Ti medu zenama i blagoslovljen plod utrobe tvoje Isus.
-
casper
- n00b
- Messaggi: 13
- Iscritto il: ven 08 giu , 2007 2:27 pm
Ma con un firewall quindi risolverei i miei problemi? Che firewall mi consiglieresti? posso collegare il firewall in cascata al router avendo un solo indirizzo IP? In questo tipo di configurazione debbo sempre utilzzare ll nat per far andare tutto al firewall?
-
casper
- n00b
- Messaggi: 13
- Iscritto il: ven 08 giu , 2007 2:27 pm
scusami ma non ho capito ho inziato da poco ad utilizzare il cisco dovrei eliminare la regola di nat e sostituirla con una acl?
Ma se scrivo ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80 non vuol dire che tutto quello che viene dall'estrno dalla porta 80 deve essere inviato alla porta 80 del mio server web interno?
Ma se scrivo ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80 non vuol dire che tutto quello che viene dall'estrno dalla porta 80 deve essere inviato alla porta 80 del mio server web interno?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Facci vedere la config intanto
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
stemanca
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 21 dic , 2005 11:49 pm
- Località: Cagliari
- Contatta:
Quoto, fai uno sh run e copia il risultatoWizard ha scritto:Facci vedere la config intanto
Per inciso, cosa ti fa sospettare che si tratti molto probab di attacchi?
Zdravo Marijo, milosti puna Gospodin s Tobom, blagoslovljena Ti medu zenama i blagoslovljen plod utrobe tvoje Isus.
-
casper
- n00b
- Messaggi: 13
- Iscritto il: ven 08 giu , 2007 2:27 pm
Ecco la mia configurazione.
E' la mia prima configurazione di un cisco
jerry#sh running-config
Building configuration...
Current configuration : 3253 bytes
!
version 12.3
service nagle
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service dhcp
!
hostname jerry
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxxxxxxxx
!
username xxxxxxx privilege 15 password 7 xxxxxxxxxxxx
no aaa new-model
ip subnet-zero
ip icmp rate-limit unreachable 1000
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
no ip domain lookup
ip domain name paperopoli.loc
ip name-server 62.149.128.4
ip name-server 62.149.132.4
no ip bootp server
ip inspect max-incomplete low 250
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name fw ftp timeout 3600
ip inspect name fw smtp timeout 3600
ip inspect name fw tftp timeout 30
ip inspect name fw udp timeout 15
ip inspect name fw tcp timeout 3600
ip audit notify log
ip audit po max-events 100
ip ssh time-out 60
ip ssh port 2001 rotary 1
ip ssh version 2
ip scp server enable
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip inspect fw in
no ip mroute-cache
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
description Aruba
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp pap sent-username xxxxxxxxxxx password 7 xxxxxxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.5 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.15 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.13 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.1.13 3478 interface Dialer0 3478
ip nat inside source static tcp 192.168.1.13 4569 interface Dialer0 4569
ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
!
logging facility local2
logging 192.168.1.11
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 5 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO 5
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
login local
transport preferred all
transport input ssh
transport output all
!
scheduler max-task-time 5000
!
end
E' la mia prima configurazione di un cisco
jerry#sh running-config
Building configuration...
Current configuration : 3253 bytes
!
version 12.3
service nagle
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service dhcp
!
hostname jerry
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxxxxxxxx
!
username xxxxxxx privilege 15 password 7 xxxxxxxxxxxx
no aaa new-model
ip subnet-zero
ip icmp rate-limit unreachable 1000
!
!
ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10
no ip domain lookup
ip domain name paperopoli.loc
ip name-server 62.149.128.4
ip name-server 62.149.132.4
no ip bootp server
ip inspect max-incomplete low 250
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name fw ftp timeout 3600
ip inspect name fw smtp timeout 3600
ip inspect name fw tftp timeout 30
ip inspect name fw udp timeout 15
ip inspect name fw tcp timeout 3600
ip audit notify log
ip audit po max-events 100
ip ssh time-out 60
ip ssh port 2001 rotary 1
ip ssh version 2
ip scp server enable
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip inspect fw in
no ip mroute-cache
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
description Aruba
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp pap sent-username xxxxxxxxxxx password 7 xxxxxxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.5 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.15 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.13 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.1.13 3478 interface Dialer0 3478
ip nat inside source static tcp 192.168.1.13 4569 interface Dialer0 4569
ip nat inside source static tcp 192.168.1.19 80 interface Dialer0 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
no ip http secure-server
!
!
logging facility local2
logging 192.168.1.11
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 5 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO 5
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
login local
transport preferred all
transport input ssh
transport output all
!
scheduler max-task-time 5000
!
end
-
OSPF
- Cisco fan
- Messaggi: 27
- Iscritto il: gio 20 set , 2007 4:44 pm
Ciao,
io ti suggerirei di mettere un acl in ingresso sulla tua interfaccia Dialer.
Il concetto e' quello di permettere solo il traffico che ti interessa (come ad esempio quello sulla porta 80) e di loggare tutto quello che neghi per cominciare a capire che flussi tentano di attraversare il tuo firewall.
Per darti un'idea puoi cominciare da questa guida sulle acl:
http://www.cisco.com/en/US/products/ps6 ... 16ebd.html
buon lavoro
io ti suggerirei di mettere un acl in ingresso sulla tua interfaccia Dialer.
Il concetto e' quello di permettere solo il traffico che ti interessa (come ad esempio quello sulla porta 80) e di loggare tutto quello che neghi per cominciare a capire che flussi tentano di attraversare il tuo firewall.
Per darti un'idea puoi cominciare da questa guida sulle acl:
http://www.cisco.com/en/US/products/ps6 ... 16ebd.html
buon lavoro
________________
Paranoid is a virtue
Paranoid is a virtue
