ACL Cisco 2610XM - Netwerken

maandag 20 maart 2006 15:59

Acties:

Verwijderd

Topicstarter

Zie hieronder een deel van de config

interface FastEthernet0/0
ip address *.*.125.49 255.255.255.248
ip access-group 100 in
no ip redirects
no ip proxy-arp
duplex auto
speed auto

interface Serial0/0
description To Provider
ip address *.*.8.178 255.255.255.252
ip access-group 110 in
encapsulation ppp
no fair-queue

access-list 100 permit ip any any

access-list 110 deny ip *.*.125.48 0.0.0.7 any
access-list 110 permit tcp any any established

access-list 110 permit tcp any host *.*.125.50 eq 5555
access-list 110 deny ip any host *.*.125.50

access-list 110 permit tcp any host *.*.125.51 eq 5555
access-list 110 deny ip any host *.*.125.51

access-list 110 permit tcp any host *.*.125.52 eq 4899
access-list 110 deny ip any host *.*.125.52

access-list 110 permit tcp any host *.*.125.49 eq telnet
access-list 110 deny ip any host *.*.125.49

De router moet zoveel mogelijk filteren. Behalve de bovenstaande poorten. Van binnenuit moet men alles van buiten kunnen benaderen, dit wordt toch geregeld door "access-list 110 permit tcp any any established". Alleen ik kom van binnen uit niet naar buiten. Wat zie ik hier over het hoofd? Ik kan niet al te veel gaan experimenteren met het risico zelf buitengesloten te worden op de router.

maandag 20 maart 2006 16:23

Acties:

snakeye

je hebt als eerste access-list 110 deny ip *.*.125.48 0.0.0.7 any

Hier worden die host gedenied waar je later in de alc de poorten voor openzet dat gaat dus niet werken.

access-list 110 permit tcp any any established
access-list 110 permit tcp any host *.*.125.49 eq telnet
access-list 110 permit tcp any host *.*.125.50 eq 5555
access-list 110 permit tcp any host *.*.125.51 eq 5555
access-list 110 permit tcp any host *.*.125.52 eq 4899

optioneel:

deny ip any any

Dit zou voldoende moeten zijn voor wat jij wil. Onder aan elke access-list staat altijd een implicit deny. (aka alles wat niet matched word gedropped)

[ Voor 84% gewijzigd door snakeye op 20-03-2006 16:31 ]

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

maandag 20 maart 2006 16:38

Acties:

Verwijderd

Topicstarter

misschien even een tekeningetje erbij Afbeeldingslocatie: https://george.podzone.org/tekening.jpg

https://george.podzone.org/tekening.jpg

vanaf het internet lukt het me wel om op de genoemde poorten te connecten zoals 5555, 4899...maar ik kan niet vanaf de machines die achter de router zitten het internet op.

[ Voor 4% gewijzigd door Verwijderd op 20-03-2006 16:39 ]

maandag 20 maart 2006 16:57

Acties:

snakeye

Hoe resolve je je dns verkeer ? Via je internet verbinding?

Dns is udp poort 53 dat word door router niet doorgelaten.

Mischien worden er bij de applicaties sessies terug geiniteerd welke niet worden doorgelaten i.v.n established commando.

Je zou een deny ip any host xxxx log kunnen toevoegen in je acl.

Op een deny ip any any log

Zo zie je of er wat gedropped word en zo ja wat. Wees met de laaste regel wel voorzichting als je router heel erg druk is of heel veel verkeer dropped kan dit problemen geven. Doe het op een rustig tijdstip als je het niet vertrouwed :-)

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

maandag 20 maart 2006 17:50

Acties:

Verwijderd

Topicstarter

1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.67.79.39(53) -> xxx.xxx.125.51(4816), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.78.240.12(53) -> xxx.xxx.125.51(4823), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.67.79.39(53) -> xxx.xxx.125.51(4823), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.78.240.12(53) -> xxx.xxx.125.51(4824), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.67.79.39(53) -> xxx.xxx.125.51(4824), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.78.240.12(53) -> xxx.xxx.125.51(4829), 1 packet
1d20h: %SEC-6-IPACCESSLOGP: list 110 denied udp 193.67.79.39(53) -> xxx.xxx.125.51(4829), 1 packet

je hebt helemaal gelijk....dit los ik op met de toevoeging aan mijn acl

access-list 110 permit ip host 193.67.79.39 xxx.xxx.125.48 0.0.0.7
access-list 110 permit ip host 193.78.240.12 xxx.xxx.125.48 0.0.0.7

of met

access-list 110 permit udp host 193.67.79.39 xxx.xxx.125.48 0.0.0.7
access-list 110 permit udp host 193.78.240.12 xxx.xxx.125.48 0.0.0.7

but what if those dns machines start spreading bad traffic? Het zijn toch machines van een externe partij....het is een kleine kans....maar toch. What is the most paranoid way?

[ Voor 14% gewijzigd door Verwijderd op 20-03-2006 18:07 ]

maandag 20 maart 2006 17:58

Acties:

kevertje1977

access-list 146 permit udp host 193.67.79.39 eq domain host x.x.x.x gt 1023
access-list 146 permit udp host 193.79.237.39 eq domain host x.x.x.x gt 1023

werkt prima hier.

andere handige access-list filters:

access-list 146 deny ip 10.0.0.0 0.255.255.255 x.x.x.x x.x.x.x log
access-list 146 deny ip 127.0.0.0 0.255.255.255 x.x.x.x x.x.x.x log
access-list 146 deny ip 172.16.0.0 0.15.255.255 x.x.x.x x.x.x.x log
access-list 146 deny ip 192.168.0.0 0.0.255.255 x.x.x.x x.x.x.x log
access-list 146 deny ip x.x.x.x x.x.x.x x.x.x.x x.x.x.x log
access-list 146 deny ip 224.0.0.0 31.255.255.255 x.x.x.x x.x.x.x log
access-list 146 deny tcp any eq 0 x.x.x.x x.x.x.x log
access-list 146 deny udp any eq 0 x.x.x.x x.x.x.x log
access-list 146 deny tcp any x.x.x.x x.x.x.x range 137 139 log
access-list 146 deny udp any x.x.x.x x.x.x.x range netbios-ns netbios-ss log
access-list 146 permit icmp any x.x.x.x x.x.x.x echo-reply
access-list 146 permit icmp any x.x.x.x x.x.x.x unreachable
access-list 146 permit icmp any x.x.x.x x.x.x.x time-exceeded
access-list 146 permit tcp any x.x.x.x x.x.x.x established
access-list 146 permit udp any eq domain x.x.x.x x.x.x.x eq domain
access-list 146 permit udp host 193.67.79.202 eq ntp x.x.x.x x.x.x.x eq ntp

[ Voor 77% gewijzigd door kevertje1977 op 20-03-2006 18:03 ]