Καλησπέρα σε όλους

Μπορεί να μου πεί κάποιος πως να σετάρω το firewall σε έναν cisco 800 νομίζω πως δεν έχει διαφορά το μοντέλο του αλλά πιο συγκεκριμένα έχω έναν 857w με advance security IOS.

Ευχαριστώ.

Καμια βοήθεια κανείς;;;;;

:sorry:

Αν θες κάτι απλό με ACL μπορείς να δοκιμάσεις αυτό που έχω εγώ:

http://www.adslgr.com/forum/showthread.php?t=245825

ή εναλλακτικά τις λύσεις που προτείναν τα παιδιά εκεί.

Σε ευχαριστώ πολύ...

Μήπως όμως χρειάζεται να δώσω κ στον dial0 κάτι στο in ή στο out;
Αυτό το στήσιμο ελπίζω να κόβει από έξω προς τα μέσα....;;;;

:hmm:

Αν λες για extended access lists ναι στο dialer που χρησιμοποιείς για το internet θα πρέπει να του δώσεις in, όχι out. Δε νομίζω να θέλεις να κόψεις τον εαυτό σου :)

Καλημέρα, ευχαριστώ για την βοήθεια...

Δηλαδή αν θα δώσω το config για το firewall που έχει γράψει δεν χρειάζεται να δώσω στο "in" στον "dial0" - "ip access group (π.χ. 102 in)";
Μόνο αν χρησιμοποιήσω access-list extended;

:hmm:

"access-list 100 permit udp host 212.70.192.2 eq ntp any
access-list 100 permit udp host 212.70.194.249 eq ntp any
access-list 100 permit udp host 195.170.2.248 eq ntp any"

Αυτά τα access-list γιατί τα άφησες να περνάνε;
Έχουν να κάνουν μήπως με το protocol τις ώρας;
Και γιατί σε αυτές τις IP;Είναι κάποιου provider;

Ευχαριστώ

Ναι σε μένα είναι ο dialer0 bound στο atm interface και του έχω δώσει:


ip access-group 100 in

Αυτές τις διευθύνσεις πράγματι είναι από τους NTP servers που χρησιμοποιώ και μπορείς να τους αγνοήσεις. Απαντάνε οι π@π@τζες πίσω στο 123 ntp port και χρειαζόταν να το έχω ανοιχτό για να δουλέψεί ο router σαν ntp server ή ntp master. Επίσης έχω και ένα black listed host αν θυμάμαι καλά που είχα δει περιέργα outgoing connections :)

Οπότε να βάλω στον dial0 το ip access-group τελικά ή όχι;
Θα παίξω με το δικό σου configuration...
Συγνώμη αλλά μπερδέυτικα....:(

Σχετικά με τον dyndns.org δεν πρέπει να τον αφήσω να περνάει;
Ξέρεις μήπως τι χρειάζετε να βάλω για να μην μου κόψει το update με το site;

Μήπως το αφήνεις με αυτό "access-list 100 permit tcp host 63.208.196.95 any established"

Ευχαριστώ πολύ

Ναι θα το βάλεις, διαφορετικά δε θα γίνει enabled, απλά θα την ορίσεις χωρίς να την χρησιμοποιεί κανένα interface.

Ναι, η IP αυτή είναι για το members.dyndns.org και το είχα δει ότι το allow στο tcp port 80 που σου απαντάει δεν κάνει πάντα σωστό update και με αυτό το κόλπο τώρα παίζει πάντα. Αυτό που με προβληματίζει τώρα είναι ότι η IP είναι 63.208.196.96 και όχι 63.208.196.95. Πάντως μου παίζει μια χαρά, μπορεί σε ενδιάμεσο στάδιο ο 63.208.196.95 να προσπαθεί να συνδεθεί σε σένα. Το βλέπεις εύκολα και από τα logs πάντως.

Τι εννοείς "απλά θα την ορίσεις χωρίς να την χρησιμοποιεί κανένα interface"

Εννοείς ότι το access-list να μην χρησιμοποιείτε ήδη σε άλλο interface;

Νομίζω όταν το κάνω enable στον dial0 δεν μπορώ να βγώ internet αν κ δεν είμαι 100% σίγουρος αν το δοκίμασα με το δικό σου config.
Θα το δώ σήμερα το απόγευμα κ θα ξαναμιλήσουμε..

Έχεις δίκαιο για το dyndns.org γιατί για να κάνει refresh πρέπει να μπορεί να δεί το members.dyndns.org το οποίο έχει την IP που προανέφερες... "63.208.196.96"

Αυτό τελικά σου χρειάστηκε;

"permit tcp any any match-all +syn +ack"

Οτι αν δεν δηλώσεις την access list που έφτιαξες σε κάποιο interface δε θα χρησιμοποιείται από πουθενά :)

Αν την ρυθμίσεις λάθος ως out ναι λογικά δε θα παίζει τίποτα αφού σου κόβει όλα τα outgoing privileged ports κάτω από 1024.

Όχι αυτό που λες δε μου χρειάστηκε, γιατί δεν κάνω τίποτα σοβαρό, απλά κόβω τα κάτω από 1024 ports. Αυτό θα χρειαζόταν σε ένα σωστό stateful firewall configuration που ποτέ δεν έχω καθήσει να φτιάξω και να πειραματιστώ :oops:

Εγώ αυτό που θέλω να κάνω είναι να κλείσω όλα τα ports από έξω προς τα μέσα πλην κάποια που μου χρειάζονται....

Δεν θα βοηθήσει δηλ. αυτό;

:hmm:

Μπα, τώρα είναι η ευκαιρία σου να φτιάξεις το firewall αυτό που λες και να μας το δώσεις και σε εμάς που βαριόμαστε να το κάνουμε :)

Δοκίμασε την παρακάτω access-list και βάλε
στο interface Dialer0 -ip access-group 111 in-


access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any source-quench
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit udp host 193.92.30.19 eq domain any gt 1023
access-list 111 permit udp host 194.219.227.2 eq domain any gt 1023
access-list 111 permit udp host 193.92.150.3 eq domain any gt 1023
access-list 111 permit udp host 193.92.110.1 eq domain any gt 1023
access-list 111 permit udp host 194.219.227.1 eq domain any gt 1023
access-list 111 permit udp host 192.43.244.18 eq ntp any eq ntp
access-list 111 permit udp host 193.92.150.3 eq ntp any eq ntp
access-list 111 permit udp host 147.52.3.15 eq ntp any eq ntp
access-list 111 permit udp any eq ntp any
access-list 111 deny icmp any any
access-list 111 deny tcp any any eq 22
access-list 111 deny tcp any any eq ftp
access-list 111 deny tcp any any eq ftp-data
access-list 111 deny tcp any any eq telnet
access-list 111 deny tcp any any eq www
access-list 111 deny tcp any any eq smtp
access-list 111 deny tcp any any eq pop3
access-list 111 deny tcp any any eq 135
access-list 111 deny udp any any eq 135
access-list 111 deny tcp any any eq 136
access-list 111 deny udp any any eq 136
access-list 111 deny tcp any any eq 137
access-list 111 deny udp any any eq netbios-ns
access-list 111 deny tcp any any eq 138
access-list 111 deny udp any any eq netbios-dgm
access-list 111 deny tcp any any eq 139
access-list 111 deny udp any any eq netbios-ss
access-list 111 deny tcp any any eq 443
access-list 111 deny udp any any eq 443
access-list 111 deny tcp any any eq 445
access-list 111 deny udp any any eq 445
access-list 111 deny udp any any gt 1023 log
access-list 111 permit ip any any

Αφήνει ότι έχει να κάνει με ping replies , ntp , dns requests (forthnet έχω βάλει) και κάνει
deny www,ftp,ssh,telnet, email , windows browsing services .... , οτιδήποτε upd πάνω από την 1023 ...

Προσοχή αυτό δεν είναι firewall αλλά access lists.

Aς με διορθώσει παρακαλώ κάποιος ειδικότερος επί του θέματος.

Ευχαριστώ

Ευχαριστώ πολύ,

αλλά αν κλείσω το www κλτ. μετά είναι σίγουρο ότι δεν θα βγαίνω internet με τίποτα...

τι λές;

Γράφω interface Dialer0 -ip access-group 111 in-

άρα κόβει από έξω requests προς τα μέσα ....
όποιος πάει να σου κάνει πχ www, ή ftp ....

Οκ κατάλαβα....

Σ ευχαριστώ πολύ...

Θα το δοκιμάσω κ θα σου πώ...

Αυτο το έχεις στημένο εσύ στον δικό σου cisco και παίζει;;;

Ναι φυσικά, αλλά έχω και άλλες access lists γιατί κάνω permit κάτι άλλα ports, voip,cameras,μtorrent ...

Ταξίαρχε είναι ACL για incoming connections, δηλαδή από το Internet προς το LAN σου. Για το ανάποδο δε θες να κλείσεις τίποτα, γιατί πολύ απλά δε θα σου δουλεύει και τίποτα.

@mspant Μια χαρά firewall είναι και αυτό που υλοποιείται με ACL. Σε linux το κάνεις με iptables και σε windows με το windows firewall. Η τεχνολογία που θα χρησιμποιηθεί δεν το κάνει λιγότερή ή περισσότερο firewall :)

Ναι οκ από εκεί κ πέρα ο καθένας το κόβει κ το ράβει βάση των εργασιών που κάνει κ τι redirections θέλει....

Το λάθος μου μάλλον πρέπει να ήταν επιδή έβαζα στην τελευταία γραμμή "access-list ΧΧΧ deny ip any any";

Ευχαριστώ πολύ κ τους 2 σας παιδιά ...:oneup:

καλα όλα αυτα αλλα ΔΕΝ είναι firewall, είναι απλα access-lists που μας παρέχουν ως ένα βαθμό προστασία απο επιθέσεις.
το firewall (ip inspect) ειναι πολυ πιο πολύπλοκο από μια απλη access-list και θα πρότεινα να το κάνεις απο το SDM γιατί απο CLI θέλει αρκετες γνώσεις και σχετική εμπειρία, γιατί αλλιώς ....... %#%#%@#@

Καλημέρα,

Δοκίμασα να το κάνω από το SDM αλλά πέρα από το configuration που γράφει για το firewall πάει κ βάζει κ πολλά σκουπίδια...

Προτιμώ να το κάνω σταδιακά κ σωστά από κονσόλα..;)

Όσο για τα ip inspections στα incoming packets εννοείτε πως θα βάλεις μαζί με τα acls...

Αν αυτό το routerακι το χρησιμοποιείς για το σπίτι τότε απ το internet προς τον router κανε allow μόνο dyndns και ntp απο συγκεκριμένο server π.χ ntp.ntua.gr. Και στα pings αν θες βάλε μόνο echo,echo-reply. Τώρα εάν κάνεις port forwarding βάλτα σε non default ports.

Αν θεωρείς οτι εσωτερικά είσαι secure μην παίξεις με inspections, γενικότερα εάν το έχεις για το σπίτι, με ένα βασικό config είσαι οκ.

Ευχαριστώ πολύ όλους σας για την βοήθεια παιδιά.

:oneup: