Ciao a tutti.
Attualmente il mio cisco 837 è configurato senza firewall, e mi sento leggermente scoperto.
Ho letto una bella configurazione postata da Wizard e ne ho preso spunto per crearmi un template di firewall.
Il mio problema è che quando applico queste access list in ingresso, sull'interfaccia Dialer0:
ccess-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554
access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny ip any any log
il mio router, che è configrato come proxy dns (ip dns server)
non mi risolve più i nomi, per il resto funziona bene.
ho provato ad aggiungere
access-list 102 permit udp any any eq 53, ma niente da fare.
chi mi sa aiutare?
Firewall mi blocca risoluzione nomi
Moderatore: Federico.Lagni
-
hashashin
- Cisco enlightened user
- Messaggi: 125
- Iscritto il: sab 22 ott , 2005 7:40 am
- Località: Frascati (RM)
ciao,
forse leggo male, ma tra tutte le acl 131 non ne vedo una che permette il traffico verso l'interfaccia Dialer0.
potresti postare anche la parte di configurazione riguardante la Dialer0??
forse leggo male, ma tra tutte le acl 131 non ne vedo una che permette il traffico verso l'interfaccia Dialer0.
potresti postare anche la parte di configurazione riguardante la Dialer0??
-
thesalex
- n00b
- Messaggi: 14
- Iscritto il: lun 21 mag , 2007 3:22 pm
Grazie, queste sono le mie interfacce:
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Virtual-Template1
ip unnumbered Ethernet0
peer default ip address pool VPN_POOL
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
ip access-group 131 in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxxxx
mi permetto anche di chiedere:
per permettere in ingresso anche le chiamate pptp bastano queste 2 righe?
access-list 131 permit gre any any
access-list 131 permit tcp any any eq 1723
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Virtual-Template1
ip unnumbered Ethernet0
peer default ip address pool VPN_POOL
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
ip access-group 131 in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxxxx
mi permetto anche di chiedere:
per permettere in ingresso anche le chiamate pptp bastano queste 2 righe?
access-list 131 permit gre any any
access-list 131 permit tcp any any eq 1723
-
hashashin
- Cisco enlightened user
- Messaggi: 125
- Iscritto il: sab 22 ott , 2005 7:40 am
- Località: Frascati (RM)
ariciao,
allora secondo me per il problema del dns dovresti inserire come penultima questa access-list qua:
access-list 131 permit udp any any eq 53
(il deny ip any any log deve essere l'ultima!!)
per le access-list riguardanti le chiamate pptp nn sò aiutarti.
sorry!!
allora secondo me per il problema del dns dovresti inserire come penultima questa access-list qua:
access-list 131 permit udp any any eq 53
(il deny ip any any log deve essere l'ultima!!)
per le access-list riguardanti le chiamate pptp nn sò aiutarti.
sorry!!
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Configura l'ip inspect in uscita su tcp, udp e dns!
Lascia perdere le acl in ingresso x la porta 53 udp.
Lascia perdere le acl in ingresso x la porta 53 udp.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
thesalex
- n00b
- Messaggi: 14
- Iscritto il: lun 21 mag , 2007 3:22 pm
Scusate il ritardo con cui rispondo.
Ho fatto molte prove è ho risolto come diceva hashashin.
Ho provato ache con l'sdm, infatti il wizard di creazione del firewall,
quando ha visto che avevo i 3 name server ha aggiunto queste
access.list:
access-list 131 permit udp host 212.216.112.11 eq domain any
access-list 131 permit udp host 151.99.125.3 eq domain any
access-list 131 permit udp host 151.99.125.2 eq domain any
Con queste mi risolve bene i nomi.
Grazie.
Ho fatto molte prove è ho risolto come diceva hashashin.
Ho provato ache con l'sdm, infatti il wizard di creazione del firewall,
quando ha visto che avevo i 3 name server ha aggiunto queste
access.list:
access-list 131 permit udp host 212.216.112.11 eq domain any
access-list 131 permit udp host 151.99.125.3 eq domain any
access-list 131 permit udp host 151.99.125.2 eq domain any
Con queste mi risolve bene i nomi.
Grazie.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ripeto che non è la configurazione migliore quella messa da te anche se funzionale.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
thesalex
- n00b
- Messaggi: 14
- Iscritto il: lun 21 mag , 2007 3:22 pm
Prima ti tutto grazie per l'aiuto e il tempo che perdi per rispondere.
Io ho già configurato ip inspect in uscita su tcp,udp, dns e anche altri protocolli.
Resta il fatto che senza quelle access-list i client non risolvono.
Forse la migliore configurazione è passare in dhcp direttamente i dns esterni.
Io ho già configurato ip inspect in uscita su tcp,udp, dns e anche altri protocolli.
Resta il fatto che senza quelle access-list i client non risolvono.
Forse la migliore configurazione è passare in dhcp direttamente i dns esterni.
-
thesalex
- n00b
- Messaggi: 14
- Iscritto il: lun 21 mag , 2007 3:22 pm
Faccio un ultima domanda, solo perchè mi piace capire la logica piuttosto che imparare a pappagallo.
dato che in fondo c'è la regola
access-list 131 deny ip any any log
che in teoria dovrebbe bloccare tutto.
Perhè è necessario mettere tutti quei deny prima?
dato che in fondo c'è la regola
access-list 131 deny ip any any log
che in teoria dovrebbe bloccare tutto.
Perhè è necessario mettere tutti quei deny prima?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Non è necessario!
Io le metto perchè mi piace vedere ed eventualmente loggare i tentativi di attacco (ip spoofing, virus...).
Se non te ne frega basta che fai:
Cioè al inizio della acl devi mettere quello che permetti esplicitamente, e, alla fine, un bel deny ip any any che nega tutto il resto.
Io le metto perchè mi piace vedere ed eventualmente loggare i tentativi di attacco (ip spoofing, virus...).
Se non te ne frega basta che fai:
Codice: Seleziona tutto
no access-l 131
access-l 131 permit ....
access-l 131 permit ....
access-l 131 permit ....
access-l 131 permit ....
access-l 131 deny ip any any
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
