CISCO SOHO96 και Block στην θυρα 25

[berni]

Προχθες το IP στην εργασια μου εγινε blacklisted σε τρεις λιστες για spam emails(cbl και sbl-xbl) πιθανως λόγω αποστολης emails από καποιο ιο που εχει προσβάλει το δικτυό μου, με αποτελεσμα να μην μπορώ να έχω εξερχόμενη αλληλογραφία.
Αν και δεν το θεωρώ ιδιαίτερα πιθανο να έχω μολυνθεί, είπα να ακολουθήσω διαφορες οδηγίες τους(καλού κακού)
Πέρα από τα κλασσικα (scan για ιους , ελεγχους στα firewalls κλπ) μου είπαν να μπλοκάρω το outgoing traffic προς την θύρα 25 πλήν των mail-servers που χρησιμοποιώ (πράγμα το οποίο μου φαίνεται ιδιαίτερα σωστό για την περίπτωση που το scan για ιούς κάτι χάσει).

Το έχει εφαρμόσει κανείς?
Πως γινεται όμως αυτό στο soho96?

Ο παροχός είναι otenet, η IP στατική, mail servers της otenet (officegate),και η version του router Version 12.2(11r)YV, RELEASE SOFTWARE (fc1)
ROM: SOHO96 Software (SOHO96-K9OY1-M), Version 12.3(2)XC2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

Ευχαριστώ

[lacacitos]

οδηγίες για χρήση με πλήρη δικιά σου ευθύνη.....

έστω ότι δεν έχεις access-lists τωρα στο router και το interface είναι το dialer0, mail server σου ο mail.otenet.gr (62.103.147.201).
απο prompt router# γράφεις:
conf t
access-list 111 permit tcp any gt 1023 host 62.103.147.201 eq smtp
access-list 111 deny tcp any any eq smtp log
access-list 111 permit ip any any
interface dialer 0
ip access-group 111 out
^Z
wri

[berni]

παντα με δικια μου ευθυνη
αλλα πριν την δοκιμη λίγη βοήθεια ακόμη:
i) θέλω παραπάνω από έναν mail servers να είναι επιτρεπόμενοι. απλά επαναλαμβάνω την γραμμή που αναφέρεις τον server της otenet?

ii) για τα access-lists... μαλλον εχω παραπάνω (?) sorry αλλα το βρηκα στημενο το καημενο το cisco και μεχρι προσφατα δεν είχεχρειαστεί να ασχοληθώ με cli οποτε...
παραθέτω το running-config και αναμενω την βοηθειά σας.

Current configuration : 6130 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname admin
!
no logging buffered
enable secret 5 <removed>
!
username admin password 7 <removed>
username CRWS_Giri privilege 15 password 7 <removed>
username CRWS_Venky privilege 15 password 7 <removed>
username CRWS_Gayatri privilege 15 password 7 <removed>
username CRWS_Kannan privilege 15 password 7 <removed>
ip subnet-zero
ip dhcp excluded-address 172.16.200.20
ip dhcp excluded-address 172.16.200.201
ip dhcp excluded-address 172.16.200.22
ip dhcp excluded-address 172.16.200.200
ip dhcp excluded-address 172.16.200.23
ip dhcp excluded-address 172.16.200.202
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
no aaa new-model
!
!
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:172.16.200.11-255.255.255.0
ip address 172.16.200.11 255.255.255.0 secondary
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode annexb-ur2
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname ******@otenet.gr
ppp chap password 7 ******
ppp pap sent-username *******@otenet.gr password 7 ********
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 172.16.200.202 6350 interface Dialer1 6350
ip nat inside source static tcp 172.16.200.201 6349 interface Dialer1 6349
ip nat inside source static tcp 172.16.200.23 1720 interface Dialer1 1720
ip nat inside source static tcp 172.16.200.23 6347 interface Dialer1 6347
ip nat inside source static tcp 172.16.200.23 5902 interface Dialer1 5902
ip nat inside source static tcp 172.16.200.23 5802 interface Dialer1 5802
ip nat inside source static udp 172.16.200.22 6881 interface Dialer1 6881
ip nat inside source static tcp 172.16.200.22 6881 interface Dialer1 6881
ip nat inside source static tcp 172.16.200.22 5800 interface Dialer1 5800
ip nat inside source static tcp 172.16.200.22 389 interface Dialer1 389
ip nat inside source static tcp 172.16.200.22 3389 interface Dialer1 3389
ip nat inside source static tcp 172.16.200.22 4672 interface Dialer1 4672
ip nat inside source static tcp 172.16.200.22 4662 interface Dialer1 4662
ip nat inside source static tcp 172.16.200.22 5900 interface Dialer1 5900
ip nat inside source static tcp 172.16.200.22 9940 interface Dialer1 9940
ip nat inside source static tcp 172.16.200.22 4899 interface Dialer1 4899
ip nat inside source static tcp 172.16.200.200 8081 interface Dialer1 8081
ip nat inside source static tcp 172.16.200.22 32459 interface Dialer1 32459
ip nat inside source static udp 172.16.200.22 32459 interface Dialer1 32459
ip nat inside source static tcp 172.16.200.201 6346 interface Dialer1 6346
ip nat inside source static tcp 172.16.200.20 80 interface Dialer1 80
ip nat inside source static tcp 172.16.200.20 21 interface Dialer1 21
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.16.201.0 255.255.255.0 172.16.200.1
ip route 172.16.202.0 255.255.255.0 172.16.200.1
ip route 192.168.12.0 255.255.255.0 172.16.200.1
ip http server
no ip http secure-server
!
access-list 10 permit 172.16.200.0 0.0.0.255
access-list 10 deny any log
access-list 23 permit 172.16.200.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 172.16.200.0 0.0.0.255 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 6346
access-list 111 permit udp any any eq 32459
access-list 111 permit tcp any any eq 32459
access-list 111 permit tcp any any eq 8081
access-list 111 permit tcp any any eq 4899
access-list 111 permit tcp any any eq 9940
access-list 111 permit tcp any any eq 5900
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 4672
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq 389
access-list 111 permit tcp any any eq 5800
access-list 111 permit tcp any any eq 6881
access-list 111 permit udp any any eq 6881
access-list 111 permit tcp any any eq 5802
access-list 111 permit tcp any any eq 5902
access-list 111 permit tcp any any eq 6347
access-list 111 permit tcp any any eq 1720
access-list 111 permit tcp any any eq 6349
access-list 111 permit tcp any any eq 6350
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
snmp-server community <removed> RO 10
snmp-server enable traps tty
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
!
!
end

ευχαριστώ

[lacacitos]

ωραία, έχει access-list αλλα στην άλλη κατεύθυνση. Οπότε τα αρχικα που σου έγραψα γινονται ως εξής:
conf t
access-list 112 permit tcp any gt 1023 host 62.103.147.201 eq smtp
access-list 112 deny tcp any any eq smtp log
access-list 112 permit ip any any
interface dialer 1
ip access-group 112 out


πρόσθετους servers τους βάζεις πάνω από το "deny tcp any any eq smtp log", σαν μια επιπλέον γραμμή

[berni]

το δοκιμαζω τωρα...

[berni]

Δουλευει μια χαρα!
Ευχαριστώ.
Ένα τελευταίο ακόμα:
Αν θελω μελλοντικα να προσθέσω και άλλους servers ?

[lacacitos]

νομίζω ότι στην έκδοση IOS που τρέχεις μπορείς να κάνεις update δυναμικά τα ACLs. αυτό θα το δεις αν τρέξεις ενα show access-list 112. αν σου βγάλεις πριν από κάθε γραμμή έναν αριθμό (10,20,30) σαν να έκανες LIST σε BASIC, τότε αυτό που κάνεις είναι πχ:
conf t
ip access-list extended 112
15 permit tcp any gt 1023 host new.mail.server.ip eq smtp

αν δεν σου βγάλει αριθμούς θα κάνεις το πατροπαράδοτο:
conf t
no access-list 112
και φτου και απο την αρχή όλο το access-list.

Παίζουν και κάτι πατέντες με tftp κλπ αλλά επειδή είναι μικρό το ACL μπορείς να το κάνεις εύκολα και χερουλάτα φαντάζομαι (copy-paste κλπ)

[berni]

βγαζει αριθμους οπως λες και το δοκιμασα ήδη.

Ευχαριστω και παλι lacacitos.