Πρόβλημα με Cisco Firewall και eMule

[anon6128]

Φίλοι καλησπέρα,

χθές δοκίμασα και πάλι να ενεργοποιήσω το firewall του Cisco 837. Όσο έκανα την απαραίτητη παραμετροποίηση όλα δουλευαν κανονικά. Ακόμη και το eMule κατέβαζε με 30k περίπου συνέχεια. Δοκίμασα και κάποιες άλλες εργασίες (web, msn messenger κλπ ) και όλα λειτουργούσαν άψογα. Ωστόσο μετά από μερικές ώρες χρειάστιηκε να κάνω disconnect στο eMule (TBH στο ένα PC, EF-mod στο άλλο). Χωρίς να έχω κάνει καμιά αλλαγή στο router (ούτε καν reload) το eMule αρνουνταν να πάρει High ID και το Kademlia ήταν Firewalled.

Οι κανόνες που έχω περάσει στις ACL του router είναι ουσιαστικά να επιτρέπουν κάθε κινηση (in και out) στις:
tcp port του ed2k
udp port του ed2k
udp port του Kademlia
Server udp port (την έχω αλλάξει από το preferences.ini του eMule).

Με δεδομένο ότι αυτά τα rules χρησιμοποιώ και στο software firewall (Norton PF 2003) και όλα λειτουργούν κανονικά, υποθέτω ότι πρόκειται για κάποια ιδιοτροπία στo firewall του cisco. Έχει κανείς καμιά ιδέα για το τι μπορεί να φταίει;

Ευχαριστώ.

[wintech2003]

Αυτη τι στιγμή παιδευομαι και εγώ να κάνω αυτες τις ρυθμίσεις...

Τους κανονες τους ρυθμισες μέσω SDM ή CLI?

Εχω προσθέσει τα:

ip nat inside source static udp 10.10.10.2 4673 interface Dialer1 4673
ip nat inside source static udp 10.10.10.2 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662

και

access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 4661
access-list 111 permit tcp any any eq 4711
access-list 111 permit udp any any eq 4672
access-list 111 permit udp any any eq 4665

Τί άλλο θέλει για να παιξει?

Επίσεις.. που θα βρώ λίστα με servers? Έχω μόνο κάτι λίγους και αυτοί είναι όλοι dead (εχω TBH)

[anon6128]

Φίλε wintech2003,

Λίστα με servers θα βρείς στο
http://ed2k.2x4u.de/index.html

Στην access-list 111 που έγραψες, αναφέρονται 3 ports (4661, 4711, 4665) που δεν ανήκουν στις default του TBH και δεν αναφέρεται η udp port του Kademlia (4673). Τι έιναι αυτές οι ports; Υπάρχει λόγος για να είναι ανοιχτές; Και εγώ στο ψάξιμο είμαι σε αυτό το θέμα

Τις ρυθμίσεις τις δοκίμασα από το SDM και όπου ηθελα να κάνω μικροαλλαγές από CLI. Το περίεργο είναι ότι αν συνδεθεί το eMule, μετά παίζει κανονικά. Κάτι περίεργο γίνεται στην διαδικασία σύνδεσης σε server

Ευχάριστώ.

[wintech2003]

Αν πας στο παρακάτω site:

http://emule-project.net/home/perl/h...c&topic_id=122

Θα βρεις ενα help file για ports του emule.

Εγω πάντως έχω ξεσκιστει στο lowid.. πάντως κάτι πρεπει να είναι με το NAT και όχι με το access-list του firewall...

Θα το δοκιμάσω και απο εβδομάδας που θα μου δώσουν τις 8 static ip από την ACN (πήρα με static ip συνδρομη 8) ) και χωρις NAT.. να δουμε....

[anon6128]

Ευχαριστώ για το link wintech2003. Αν και δεν μου έλυσε το πρόβλημα είχε χρήσιμες πληροφορίες.
Πολύ πιθανό αυτό που λες για το ΝΑΤ, αλλά λογικά θα είχε συμβεί και σε άλλους. Δοκίμασα ό,τι βρήκα σε αντίστοιχα threads αλλά πάλι τίποτα. Δοκίμασα ακόμη και να ανοίξω από τις ACLs όλες τις ports από 4000 έως 7000 αλλά πάλι τίποτα.
Έχω την εντύπωση ότι δεν γίνεται σωστά το PAT ή, τουλάχιστον, όχι σε όλες τις απαραίτητες ports.
Πάντως όταν θα αποκτήσεις τις 8 IP η ζωή σου θα γίνει σίγουρα πιο εύκολη αλλά και πιο επικίνδυνη
Για την ώρα πάντως εγώ γύρισα στο συνδυασμό NAT/Software Firewall και όλα δουλεύουν ρολόι, αλλά θα συνεχίσω να το ψάχνω....

Ευχαριστώ.

[wintech2003]

Δηλαδή τι έχεις κάνει όταν εννοείς NAT / Software Firewall?

Έχεις απενεργοποιήσει εντελώς το firewall από το Cisco.. έχεις ενεργοποιήσει απλά το NAT και έχεις στήσει ενα software firewall?

Συνοπτικά πως γίνετε αυτό?... φαντάζομαι πως και για την απενεργοποιήση του firewall χρειάζονται CLI Commands γιατι μεσα στο SDM δεν υπάρχει κάποιο Disable για το Firewall.

Όσο για τις IP λογικά αυριο το πρωι θα έχω λάβει το e-mail...

Ι'll keep in touch

[anon6128]

Αν και μου φαίνεται ότι το SDΜ έχει κάποια επιλογή για Disable Firewall, αυτό που έκανα ήταν να κάνω αρχικά την συνδεση από το CRWS με απενεργοποιημένο το Firewall του router. To ρύθμισα έτσι ώστε να παιζει όπως ήθελα και τα κράτησα backup σε ένα txt αρχείο στο PC μου. Έτσι μετά από κάθε τέτοιο "αποτυχημένο" πείραμα, μπορώ να επαναφέρω το router στην κατάσταση που ήταν τότε.

Αν διαβάσεις και άλλα thread πάνω στο θέμα ΝΑΤ θα δείς ότι αποτελεί ένα πρώτο επίπεδο ασφάλειας. Σε συνδυασμό με το software firewall (Norton PF 2003) μπορώ να πώ ότι είναι αρκετά αποτελεσματικό.

Τώρα γιατί προσπαθώ να κάνω το Hardware Firewall να δουλέψει;;;;;

PS: το SDM έχει επιλογή να κάνει save το τρέχον configuration. Έτσι όταν φτάσεις το router σε ένα σημείο που κάνει την δουλειά του αξιόπιστα, αποθήκευσέ το για κάθε ενδεχομενο.

[chatasos]

Αυτη τι στιγμή παιδευομαι και εγώ να κάνω αυτες τις ρυθμίσεις...

Τους κανονες τους ρυθμισες μέσω SDM ή CLI?

Εχω προσθέσει τα:

ip nat inside source static udp 10.10.10.2 4673 interface Dialer1 4673
ip nat inside source static udp 10.10.10.2 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662

και

access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 4661
access-list 111 permit tcp any any eq 4711
access-list 111 permit udp any any eq 4672
access-list 111 permit udp any any eq 4665

Τί άλλο θέλει για να παιξει?

Επίσεις.. που θα βρώ λίστα με servers? Έχω μόνο κάτι λίγους και αυτοί είναι όλοι dead (εχω TBH)

Πρόσθεσε στο τέλος της λίστας το παρακάτω

access-list 111 deny ip any any log

και μετά δώσε μέσα από cli "show log" για να δεις που/αν κόβεται κάτι λόγω της λίστας.

[wintech2003]

Το εκανα αυτό που προτείνεις http://www.adslgr.com/forum/viewtopic.php?t=5098. Έβαλα ενα syslog deamon και είχα μεσα σε 5 λεπτά 1900 γραμμές από discarded packets...
Γενικα δηλαδη κοβει πολυ πραγμα........

Για την ώρα περιμένω τις private ips να κανω καμια δοκιμη στο εντελώς ανοιχτο mode και σιγα σιγα να αρχιζω να κλεινω τρυπες.....

[cosmos]

access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 4661
access-list 111 permit tcp any any eq 4711
access-list 111 permit udp any any eq 4672
access-list 111 permit udp any any eq 4665

Δεν ομιλώ IOS (δυστυχώς...), αλλά αν αυτοί οι κανόνες ρυθμίζουν εξερχόμενη κίνηση, τότε έχεις πρόβλημα. (BTW, first-match-executes είναι το parsing

Οι περισσότεροι ED2Κ servers δεν "παίζουν" με τα standard ports 4662 & 4672... Ως εκ τούτου θα πρέπει να το αφήσεις να βγει ελεύθερα και να ελέγξεις μόνο το inbound. Και πάλι αναφέρω ότι η υποσημείωσή μου αυτή ισχύει μόνο αν οι access-list γραμμές ελέγχουν εξερχόμενη κίνηση.

[anon6128]

Οι περισσότεροι ED2Κ servers δεν "παίζουν" με τα standard ports 4662 & 4672...

Cosmos, καλημέρα.
Αυτό το post σου με μπέρδεψε Είχα την εντύπωση ότι αυτές οι πόρτες (4662 και 4672) είναι local και δεν εχουν να κάνουν με το server.

Μήπως μπορεί κάποιος να γράψει ΟΛΑ τα ports που χρησιμοποιεί το eMule; Με δεδομένο ότι το firewall ενός router "κόβει" σχεδόν τα πάντα (5797 deinied packets σε 80 λεπτά!!!), τι ports πρέπει να ανοίξουν και σε ποια κατεύθυνση, για να δουλέψει σωστά το τετράποδο; Και ποιά από αυτά πρέπει να γίνουν forward στο συγκεκριμενο PC;

Ευχαριστώ.

[cosmos]

Οι περισσότεροι ED2Κ servers δεν "παίζουν" με τα standard ports 4662 & 4672...

Cosmos, καλημέρα.
Αυτό το post σου με μπέρδεψε Είχα την εντύπωση ότι αυτές οι πόρτες (4662 και 4672) είναι local και δεν εχουν να κάνουν με το server.

Μήπως μπορεί κάποιος να γράψει ΟΛΑ τα ports που χρησιμοποιεί το eMule; Με δεδομένο ότι το firewall ενός router "κόβει" σχεδόν τα πάντα (5797 deinied packets σε 80 λεπτά!!!), τι ports πρέπει να ανοίξουν και σε ποια κατεύθυνση, για να δουλέψει σωστά το τετράποδο; Και ποιά από αυτά πρέπει να γίνουν forward στο συγκεκριμενο PC;

Ευχαριστώ.

Όπως εσύ ορίζεις τι ports έχεις τοπικά, έτσι ορίζεται και σε έναν ED2K server (αυτούς που βλέπεις στη server list του emule). Και όπως εσύ αν θες αλλάζεις τα τοπικά σου ports, το ίδιο μπορεί να κάνει και ένας διαχειριστής ενός ED2K server. Για αυτό το λόγο δεν έχει νόημα το control των εξερχόμενων από το δίκτυο συνδέσεων, όσο νόημα έχει το control των εισερχομένων (όπου το κριτήριο σου είναι σε ποιο τοπικό Port πάει να συνδεθεί κάποιος απ'έξω και όχι από ποιό remote port προέρχεται η κλήση).

Ελπίζω να έγινα περισσότερο κατανοητός.

[cosmos]

Οι γραμμές access-list 111 ... αφορούν φιλτράρισμα εισερχόμενης κίνησης; Τα ports αφορούν το τοπικό σας port στις ίδιες γραμμές; Αν η απάντηση και στα 2 είναι ναι, τότε προσθέστε τις:

Κώδικας:

access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit udp any any eq 4673

[anon6128]

Ευχαριστώ Cosmos,

κατάλαβα τι εννοούσες. Το γεγονός είναι ότι όταν ενεργοποιείς το firewall στο cisco, το configuration του πολλαπλασιάζεται σε γραμμές, και ειναι πολύ δύσκολο να βρείς τελικά τι κόβει και τι όχι. Αυτός είναι και ο κύριος λόγος που άνοιξα το thread στο hardware. Ωστόσο έκανα μια δοκϊμή:

Στους κανόνες που αναφέρω στο πρώτο post του thread προσέθεσα και τα ports 4661 και 4665 (πάλι in και out) με βάση το 5 και 6 του
http://emule-project.net/home/perl/h...c&topic_id=122

Σύμφωνα λοιπόν με ό,τι έχω καταλάβει μέχρι τώρα ( ), θα έπρεπε να μπορω να συνδεθώ κανονικα στους servers που "παίζουν" στην 4661. Κι όμως τίποτα
Το πιο περίεργο είναι ότι αν ενεργοποιήσω το firewall με το eMule connected, κανένα πρόβλημα. Το πρόβλημα προφανώς έχει να κάνει με το όποιο negotiation γίνεται μεταξύ client και server στη διαδικασία της αρχικής σύνδεσης.

Ευχαριστώ.
PS: Την access-list 111 δεν τη χρησιμοποιώ εγώ και προφανώς δεν ξέρω που την εφαρμόζει ο wintech2003.

[euri]

Εγώ με το μουλάρι έκανα το εξής: επειδή ακόμα δεν έχω ψάξει το IOS (δεν ομιλώ IOS που είπε και ο cosmos πιο πάνω ) άνοιξα τα ports 4662/tcp και 4672/udp από το CRWS και το μουλάρι συνδέεται (βέβαια έχω χαμηλές ταχύτητες και δεν ξέρω αν οφείλεται στο firewall του cisco). Στο running-config υπάρχουν οι παρακάτω καταχωρήσεις

Κώδικας:

ip nat inside source static tcp xxx.xxx.xxx.xxx 4662 interface Dialer1 4662
ip nat inside source static udp xxx.xxx.xxx.xxx 4672 interface Dialer1 4672
.
.
.
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672

όπου xxx.xxx.xxx.xxx είναι η εσωτερική IP του PC μου.

Νιούμπης στο μουλάρι και νιούμπης και στο cisco...θανατηφόρος συνδυασμός, σωστά;