Toon posts:

Cisco 827H Port forwarding probleem

Pagina: 1
Acties:
  • 508 views sinds 30-01-2008
  • Reageer

dinsdag 14 augustus 2007 21:13

Acties:
  • JVaags
  • Registratie: Juni 2001
  • Laatst online: 08-01-2025

JVaags

Je voelt je beter in een 504

Topicstarter
Hoi,

heb van een collega een oude Cisco 827H gekregen die hij niet aan de praat kon krijgen. Ik zocht namelijk een vervanger voor de 2e alcatel 510 die ik versleten heb :)

Aan de praat krijgen was niet moeilijk met een interface kabel en de router werkt nu grotendeels. Ik loop bij de forwarding tegen problemen aan. Ik heb (via de webinterface) 2 NAT regels ingesteld maar het lijkt erop alsof deze door de firewall worden geblocked. Ik krijg namelijk het volgende door op mijn syslog server:

Aug 14 21:05:07 routersmurf 3673: *Mar 1 22:06:35: %SEC-6-IPACCESSLOGP: list 111 denied tcp x.x.x.x(x) -> x.x.x.x(80), 1 packet

en voor poort 4662 krijg ik dezelfde meldingen.

Haal ik de firewall rules eruit haal werken de forward rules wel. Maar ja, dat is niet wenselijk.

Ik heb zelf de volgende firewall rules erbij gezet in de running config:
access-list 111 permit tcp any any eq 80
access-list 111 permit tcp any any eq 4662

Maar dat lost het probleem niet op.

Wat kan dit zijn?

Mijn config
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134

Using 3778 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime
service timestamps log datetime
service password-encryption
!
hostname routersmurf
!
boot-start-marker
boot-end-marker
!
logging buffered informational
enable secret 5 xxxxxxxxxx
!
no aaa new-model
!
resource policy
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.1 192.168.1.99
ip dhcp excluded-address 192.168.1.201 192.168.1.254
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool CLIENT
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.254
   domain-name joint.local
   lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
username Rites privilege 15 password 7 xxxxxxx
username routersmurf password 7 xxxxxxxxxx
username CRWS_Bijoy privilege 15 password 7 xxxxxxxxxxxxx
username CRWS_Kannan privilege 15 password 7 xxxxxxxxxxxx
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this:192.168.1.254-255.255.255.0
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!
interface ATM0
 no ip address
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/48
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname jwvaags@zonnet-lite
 ppp chap password 7 xxxxxxxxxxxx
 ppp pap sent-username jwvaags@zonnet-lite password 7 xxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.1 80 interface Dialer1 80
ip nat inside source static tcp 192.168.1.1 4662 interface Dialer1 4662
!
logging 192.168.1.1
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 deny   ip any any log
access-list 111 permit gre any any
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit tcp any any eq 139
access-list 111 permit tcp any any eq 1723
access-list 111 permit udp any any eq 10000
access-list 111 permit udp any any eq isakmp
access-list 111 permit esp any any
access-list 111 permit udp any eq domain any
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit tcp any any eq www
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server community private RW
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end

dinsdag 14 augustus 2007 21:51

Acties:
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 13:06

SambalBij

We're all MAD here

Die access-lists worden in IOS sequentieel afgewerkt. Zodra hij een regel tegenkomt die matcht met het verkeer dan voert hij de permit of deny uit en stopt met verder verwerking.

En aangezien je de regel 'access-list 111 deny ip any any log' helemaal bovenaan hebt staan blockt deze access-list derhalve *al* het IP verkeer dat ie tegenkomt.

Zet die regel eens onderaan, dan zal het wel werken :)
(Tip: Hele access-list even knippen/plakken naar notepad en daar bewerken; dan op de router 'no access-list 111' en daarna de ge-editte lijst weer plakken. Per regel weggooien werkt niet; een 'no access-list 111 deny ip any any log' gooit toch de hele lijst weg.)

(Tip2: zet *nooit* de (gecodeerde) cisco passwords zo in een config op het net... Ik kan als ik wil zo decoderen wat je zonnet inbel password is - (heb al een modje gevraagd deze even weg te editten))

[ Voor 17% gewijzigd door SambalBij op 14-08-2007 22:01 . Reden: tip toegevoegd ]

Sometimes you just have to sit back, relax, and let the train wreck itself

dinsdag 14 augustus 2007 23:14

Acties:
  • JVaags
  • Registratie: Juni 2001
  • Laatst online: 08-01-2025

JVaags

Je voelt je beter in een 504

Topicstarter
@SambalBij, ik ben inderdaad door een deny rule alle firewall rules kwijt geraakt en die heb ik vanuit een tekstbestandje zitten overtikken (rotwerk). Ik zag dat het verkeerd om stond maar ging er even niet vanuit dat dat de oorzaak was.

Ik heb de deny rule opnieuw toegepast om alles even leeg te gooien, geknipt en geplakt en nu staat het goed. Het werkt weer! :)

Toch is dit vreemd, in de documentatie die ik heb en wat ik op internet las was dat het verkeer wat over de NAT rule gaat niet langs de IOS firewall gaat. Dat is dus nu wel degelijk het geval, kan dit komen door een nieuwere IOS release (c820-oy6-mz.124-8) die ik erop heb gezet?

En ohja, ik heb de wachtwoord eruit gehaald, thx voor je tip.

[ Voor 4% gewijzigd door JVaags op 14-08-2007 23:14 ]

woensdag 15 augustus 2007 00:24

Acties:
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 13:06

SambalBij

We're all MAD here

Access-lists hebben eigenlijk niet heel veel met de nat regels van doen. (Behalve dan wanneer je een access-list gebruikt om te bepalen wat er genat moet worden, zoals access-list 102 in jouw config)
Je moet alleen wel opletten waar je de regels neerzet en of dat voor of na de nat regel is.
Als je zoals in jouw geval de access-list op de outside interface neerzet, dus vóór de nat, dan moet je, als je niet met any werkt als destination maar met een specifiek IP, dan moet de access rule het IP adres gebruiken wat op die interface binnenkomt, dus in geval van een internetrouter het publieke IP.
Zet je daarentegen dezelfde access-list aan de binnenkant neer (ip access-group xxx out op de inside interface) dan zit die access-list ná de nat regel, en moet je dus als destination ook de *interne* ip adressen gebruiken ipv de genatte publieke adressen.

Sometimes you just have to sit back, relax, and let the train wreck itself

woensdag 15 augustus 2007 08:14

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Heilige pagina voor dit soort dingen is de volgende pagina.

http://www.cisco.com/en/U...ote09186a0080133ddd.shtml

Je ziet dan precies welke adressen en routeringen je moet aanmaken om NAT in orde te maken.

zondag 30 september 2007 19:46

Acties:
  • JVaags
  • Registratie: Juni 2001
  • Laatst online: 08-01-2025

JVaags

Je voelt je beter in een 504

Topicstarter
Dank voor de info. Ik ben inmiddels alweer een heel stuk verder in de Cisco wereld. Naar wat ik gelezen heb zitten de access list voor de NAT rules. Dus ik heb de poorten die ik statisch geforward heb vrijgegeven op de ACL en er komt nu verkeer door.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

access-list 111 permit tcp any any eq www
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp log
access-list 111 permit udp any any eq 10000 log
access-list 111 permit udp any any eq ntp
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any eq 4661 any
access-list 111 permit tcp any eq 4662 any
access-list 111 permit udp any any eq 4666
access-list 111 permit udp any eq 4666 any
access-list 111 permit udp any any eq 5886
access-list 111 permit gre any any
access-list 111 deny   ip any any log


Nu loop ik echter tegen het volgende aan.

Aan de vrijgegeven poorten kun je zien dat er donkey client binnen mijn netwerk draait. In de firewall logging blijkt dat er enorm veel verkeer geblocked wordt (om de 2 seconden probeert er iemand connect te maken naar poorten in de reek 40000-5000).

Nat werkt gewoon, als ik show ip nat translation opvraag op de router krijg ik een hele waslijst aan IP nummers en poorten. Als ik echter ip nat statistics opvraag zie ik het volgende:

code:
1
2
3
4
5
6
7
8
9
10

Outside interfaces:
  Dialer1, Virtual-Access2
Inside interfaces:
  Ethernet0
Hits: 303301107  Misses: 5238616
CEF Translated packets: 306827364, CEF Punted packets: 451754
Expired translations: 5496987
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 102 interface Dialer1 refcount 521


5238616 misses, dit zouden wel eens de connecties kunnen zijn die door de ACL 111 worden geblocked.

Ik heb even een vlotte check uitgevoerd tussen de logging van de geblockte connecties en een netstat op de donkey client en het lijkt dat de geblockeerde connecties niet voorkomen in de netstat lijst.

Oftewel, ik heb het vermoeden dat de geblokkeerde connecties van hosts afkomen die van mijn upload gebruik willen maken maar blijkbaar niet over de reguliere poorten connectie maken (ongevraagd verkeer dus).

Klopt dat?

vrijdag 14 maart 2008 13:19

Acties:
  • dionys0s
  • Registratie: December 2005
  • Laatst online: 27-08-2025

dionys0s

show access-lists kan je heel makkelijk zien aan welke regel je traffic blijft steken! (het aantal keren je access list regel toegepast wordt staat tussen haakjes)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq