PDA

Επιστροφή στο Forum : Port Forward σε cisco 877w



windshearx29a
28-06-09, 15:09
Καλησπέρα σε όλους - έχω φάει εδώ και αρκετές μέρες προσπαθώντας να στήσω ένα cisco 877w από μηδαμηνές γνώσεις σε ios. Αφού ξεπέρασα τα πρώτα προβλήματα σύνδεσης στο internet μέσω από forums του adslgr (με firmware και ios upgrade). Μετά είχα πρόβλημα με το wireless - το έλυσα μέσα από cli (καθώς δε μπόρεσα παραδόξως για αρκετές μέρες να το κάνω να δουλέψει μέσω sdm). Τώρα πια έχω πρόβλημα με το port forwarding και με ένα dmz που θέλω να βάλω στο ps3. Δε μπορώ με τίποτα να το κάνω να παίξει! Αν υπάρχει κανείς εκεί έξω να με βοηθήσει να το λύσω...ακόμα και επί πληρωμής...Σας παραθέτω το configuration (το ξέρω ότι είναι άθλιο-γραμμένο καθώς έχει το μεγαλύτερο μέρος του γραφτεί από sdm). Ας πούμε για παράδειγμα ότι θέλω να ανοίξω τη πόρτα 10000 για το pc με ip 10.10.10.100, μπορεί κανείς να με βοηθήσει?

P.S. Ξέρω ότι είναι υπερβολή το cisco για το σπίτι, αλλά το έχω μόνο και μόνο για τη γνώση.



!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname Kerberus
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxx
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization ipmobile default group rad_pmip
aaa accounting network acct_methods start-stop group rad_acct
!
!
aaa session-id common
clock timezone PCTime 2
clock summer-time PCTime date Mar 30 2003 3:00 Oct 26 2003 4:00
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.11 192.168.1.254
ip dhcp excluded-address 192.168.1.1 192.168.1.254
!
ip dhcp pool sdm-pool1
import all
network 10.10.10.0 255.255.255.0
dns-server 193.92.150.3 194.219.227.2
default-router 10.10.10.1
lease infinite
!
ip dhcp pool sdm-pool-wifi
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 193.92.150.3 194.219.227.2
lease infinite
!
!
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
ip tcp synwait-time 10
no ip bootp server
ip domain name darkstar.com
ip name-server 193.92.150.3
ip name-server 194.219.227.2
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-2123278842
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2123278842
revocation-check none
rsakeypair TP-self-signed-2123278842
!
!
crypto pki certificate chain TP-self-signed-2123278842
certificate self-signed 01
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
quit
!
!
username xxxxxxxxxxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
!
!
bridge irb
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode adsl2+
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
no snmp trap link-status
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface Dot11Radio0
ip address 192.168.1.1 255.255.255.0
!
encryption mode ciphers tkip
!
ssid xxxxxx
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxx
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.1
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
no ip address
bridge-group 1
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx.ath.forthnet.gr@forthnet.gr
ppp chap password 7 xxxxxxxxxxxxxxxxxxxx
ppp pap sent-username windshear.ath.forthnet.gr@forthnet.gr password 7 xxxxxxxxxxxxxxxxxxxxx
!
interface Dialer1
no ip address
no cdp enable
!
interface BVI1
description $ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
ip mask-reply
ip directed-broadcast
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 172.16.2.60 3389 interface BVI1 3389
ip nat inside source static udp 10.10.10.103 56759 interface FastEthernet2 56759
ip nat inside source static tcp 10.10.10.103 443 interface FastEthernet2 443
ip nat inside source static tcp 10.10.10.103 5223 interface FastEthernet2 5223
ip nat inside source static tcp 10.10.10.103 10070 interface FastEthernet2 10070
ip nat inside source static tcp 10.10.10.103 10071 interface FastEthernet2 10071
ip nat inside source static tcp 10.10.10.103 10072 interface FastEthernet2 10072
ip nat inside source static tcp 10.10.10.103 10073 interface FastEthernet2 10073
ip nat inside source static tcp 10.10.10.103 10074 interface FastEthernet2 10074
ip nat inside source static tcp 10.10.10.103 10075 interface FastEthernet2 10075
ip nat inside source static tcp 10.10.10.103 10076 interface FastEthernet2 10076
ip nat inside source static tcp 10.10.10.103 10077 interface FastEthernet2 10077
ip nat inside source static tcp 10.10.10.103 10078 interface FastEthernet2 10078
ip nat inside source static tcp 10.10.10.103 10079 interface FastEthernet2 10079
ip nat inside source static tcp 10.10.10.103 10080 interface FastEthernet2 10080
ip nat inside source static udp 10.10.10.103 3478 interface FastEthernet2 3478
ip nat inside source static udp 10.10.10.103 3479 interface FastEthernet2 3479
ip nat inside source static udp 10.10.10.103 3658 interface FastEthernet2 3658
ip nat inside source static udp 10.10.10.103 10070 interface FastEthernet2 10070
ip nat inside source static udp 10.10.10.103 50100 interface FastEthernet2 50100
ip nat inside source static tcp 10.10.10.101 63731 interface BVI1 63731
ip nat inside source static tcp 10.10.10.100 10000 interface Dialer1 10000
ip nat inside source list 101 interface Dialer1 overload
!
logging trap debugging
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=0
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark SDM_ACL Category=16
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit udp any any
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 permit udp host 194.219.227.2 eq domain any
access-list 102 permit udp host 193.92.150.3 eq domain any
access-list 102 deny ip 10.10.10.0 0.0.0.255 any
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
access-list 102 permit tcp any any
access-list 103 permit ip any any
no cdp run
!
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

SfH
28-06-09, 16:35
Θέλει λίγο (έως παρα πολύ) καθάρισμα το config σου :p

Για να κανεις αυτό που θες, δώσε :



ip nat inside source static tcp 10.10.10.100 10000 interface dialer0 10000

heavyaris
28-06-09, 16:44
ip nat inside source list 1 interface Dialer0 overload που ειναι η access-list 1 ? εγω βλεπω απο 100 μεχρι 103


ip nat inside source static tcp 10.10.10.100 10000 interface Dialer1 10000 το interface dialer 1 ειναι απενεργοποιημενο, ετσι σβησε αυτη τη γραμμη και προσθεσε στη θεση της:


ip nat inside source static tcp 10.10.10.100 10000 interface Dialer0 10000
ip nat inside source static udp 10.10.10.100 10000 interface Dialer0 10000

(tcp+udp επειδη ειπες γενικα να ανοιξει η πορτα 10000)

nsek
28-06-09, 17:09
Έχεις 2 dialer interfaces και το 1 δεν χρειάζεται (dia1). Για να κάνεις το forwarding πρέπει να βάλεις την εντολή:

ip nat inside source static tcp 10.10.10.100 10000 interface dialer 0 10000

και να επιτρέψεις στην access list 102 την κίνηση:

ip access-list 102 permit tcp any eq 10000 host 10.10.10.100 eq 10000

βάλε την εντολή (με το sdm) μετά τα udp statements

αν δεν εισαι σιγουρος ποια ειναι η source πορτα μην την δηλωνεις στις εντολες

ελπίζω να βοήθησα :)

windshearx29a
30-06-09, 16:55
Δοκίμασα όσα μου προτείνετε, αλλά χωρίς αποτέλεσμα - υποψιάζομαι κάποια εντολή του sdm μέσα στο config να προκαλεί το πρόβλημα. Ίσως το:


ip inspect name SDM_LOW tcp

taxiarxos
30-06-09, 20:38
Για να σου λυθεί η απορία βγάλε το inspection κ την 102 ACL από τον dial κ δοκίμασε να δείς αν παίζει.

Αν σου παίξει σημαίνει ότι είναι θέμα firewall οπότε προσπαθείς να δείς τι σε κόβει το inspection ή η ACL.

Αλλιώς κάτι δεν σου παίζει με το NAT αν κ οι παραπάνω οδηγίες τον παιδιών είναι σωστές κ ξεκάθαρες.

Επίσης δες το config σου ξανά από CLI γιατί από το σβύσε γράψε καμιά φορά μπερδέβετε η σειρά από τα commands πόσο μάλλον αν χρησιμοποιείς κ SDM τότε γίνετε σαλάτα το config.

Από μια ματιά πάντως που έριξα στα ACLs σου δεν είναι σωστά πρέπει να ξαναδείς την σειρά τους καθώς επίσης να σβύσεις κ κάποιες ενδιάμεσες εντολές του στύλ


deny ip any any ή deny tcp any any αυτές ώς συνήθως μπαίνουν στο τέλος του config της ACL κ όχι σε συνδιασμό.

Ελπίζω να βοήθησα.

Good Luck ;)

Copyright Keen Notion Co (2002-2019) Copyright Keen Notion Co.