Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Vraag

dinsdag 16 februari 2016 16:40

Acties:
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Ik zit bezig met het configureren van een Cisco 2800 series router.

ik heb de ip route ingesteld, NAT, etc...

nu wil ik ACLs instellen maar als ik mijn access-lists instel heb ik geen internet meer

ik wil poort 443,80,53 open hebben en de rest dicht.

FA0.1 -- ip access-group 100 in

access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 53
access-list 100 deny ip any any

als ik dit heb ingesteld werkt het niet meer en als ik de deny rule als eerste doe werkt het ook niet.

verder heb ik de access-group ook ingesteld als out.

Hopelijk weten jullie meer


Alvast bedankt :)

JozuaR

Alle reacties

dinsdag 16 februari 2016 16:43

Acties:
  • Shin_Alu
  • Registratie: Maart 2003
  • Laatst online: 27-11 15:16

Shin_Alu

Ranger/Ninja

Waarschijnlijk mis je met name deze:

access-list 100 permit tcp any any established

Taru tossing moet een olympische sport worden

dinsdag 16 februari 2016 16:55

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:38

plizz

Is fa0/1 je LAN of WAN kant? Want er is een verschil. Indien LAN kant dan access-group 100 in en indien WAN kant dan access-group 100 out. Tip: DNS is UDP. Maar DNS TCP kan geen kwaad.

dinsdag 16 februari 2016 17:00

Acties:
  • tvtech
  • Registratie: September 2006
  • Laatst online: 24-11 19:45

tvtech

Die dns rule moet inderdaad udp zijn. Staat dat dicht, heb je geen internet. Heb je dat al geprobeerd?

Hoeiendag!

woensdag 17 februari 2016 07:39

Acties:
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
plizz schreef op dinsdag 16 februari 2016 @ 16:55:
Is fa0/1 je LAN of WAN kant? Want er is een verschil. Indien LAN kant dan access-group 100 in en indien WAN kant dan access-group 100 out. Tip: DNS is UDP. Maar DNS TCP kan geen kwaad.
Ik probeer bij de LAN een access group te maken van in en in de WAN interface een out group aangezien er poorten voor in en out going verkeer moeten worden geblokkeerd.

De DNS heb ik zowel als UDP en TCP maar dit hoort ook geen problemen te geven denk ik
Shin_Alu schreef op dinsdag 16 februari 2016 @ 16:43:
Waarschijnlijk mis je met name deze:

access-list 100 permit tcp any any established
Dit heb ik nog geprobeerd dit ga ik testen hopelijk werkt dit

JozuaR

woensdag 17 februari 2016 08:15

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:38

plizz

Post dan je hele configuratie. Misschien ergens anders een fout.

woensdag 17 februari 2016 12:32

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 28-11 13:01

Barreljan

...Zoom-Zoom...

Een established is inderdaad wel lekker maar hoeft in theorie niet inbound (ik ga er nu vanuit dat int fa0/1 het lan is met de clients). Juist naar de clients toe (fa0/1 outbound) zou je established nodig hebben.

Wat praktischer is een extended access-list voor eventuele bewerkingen of het aanpassen van volgordes.

ip access-list extended WEBFILTER
10 permit tcp any any eq 443
20 permit tcp any any eq 80
30 permit udp any any eq 53
40 deny ip any any

Dan op je interface fa0/1
ip access-group WEBFILTER in

Nu kan je wat makkelijker entries tussenvoegen:
ip access-list extended WEBFILTER
45 permit tcp any any eq 8080
exit
ip access-list resequence WEBFILTER 10 10
end

Resultaat even bekijken, alles weer netjes in lijn:
show ip access-list


ps. misschien ook wel lekker om wat ICMP echo/echo-reply toe te staan. Minimaal dit dan:
icmp echo
icmp echo-reply
icmp unreachable
icmp time-exceeded

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

woensdag 17 februari 2016 12:43

Acties:
  • temp00
  • Registratie: Januari 2007
  • Niet online

temp00

Als het kan ben ik lam

Als ik jou goed begrijp wil je vanaf je pc kunnen internetten (80, 443) en dns query's doen (53).

Ik weet niet of ik nu iets mis in je verhaal of dat van de reply's :S maar dan moet je volgens mij dit op OUT instellen:
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 53
access-list 100 deny ip any any

en die regels voor IN weghalen. Want als je een verbinding opzet, gebruik je een willekeurig port-nummer en dus niet hetzelfde als de remote (web)server. Als je die regels dus op IN heb staan, moet je heel erg veel geluk hebben om een succesvolle verbinding tot stand te brengen.

♠ REPLY CODE ALPHA ♠ 9800X3D, 32GB @ 6000, 980 Pro 2TB, RTX 5070Ti, MPG271QRX OLED @ 360HZ ♠ Overwatch

woensdag 17 februari 2016 13:16

Acties:
  • Barreljan
  • Registratie: December 2001
  • Laatst online: 28-11 13:01

Barreljan

...Zoom-Zoom...

temp00 schreef op woensdag 17 februari 2016 @ 12:43:
Als ik jou goed begrijp wil je vanaf je pc kunnen internetten (80, 443) en dns query's doen (53).

Ik weet niet of ik nu iets mis in je verhaal of dat van de reply's :S maar dan moet je volgens mij dit op OUT instellen:
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 53
access-list 100 deny ip any any

en die regels voor IN weghalen. Want als je een verbinding opzet, gebruik je een willekeurig port-nummer en dus niet hetzelfde als de remote (web)server. Als je die regels dus op IN heb staan, moet je heel erg veel geluk hebben om een succesvolle verbinding tot stand te brengen.
Ik gokte erop dat FA0/1 het interne netwerk is en FA0/0 het externe netwerk. Als je dan vanaf intern naar buiten fitleren wilt is de ACL richting op FA0/1 inbound (lees: je gaat vanaf je client de router IN).

Maar zonder de rest van de info/config is het speculeren :)

Time Attacker met de Mazda 323F 2.5 V6 J-spec | PV output

woensdag 17 februari 2016 14:50

Acties:
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
ik ga de dingen hierboven testen, maar eigenlijk was het hele concept alsvolgt :

een beveiligde lan opzetten met alle poorten gesloten met uizonderiing van : 443, 80, 53 in/uitgaand (later misschien nog meerdere poorten openzetten ivm mail en webserver).

Ook begreep ik dat IMCP geactiveerd moet worden.

ik heb tot nu toe het volgende:

------------------------------------------------------------

Building configuration...


Current configuration : 1321 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

!

!

ip cef

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.1.1

!

ip dhcp pool test-pool

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

dns-server 192.168.***.***

!

!

multilink bundle-name authenticated

!

!

!

archive

log config

hidekeys

!

!

!

!

!

interface FastEthernet0/0

ip address 192.168.***.*** 255.255.255.0

ip access-group 100 out

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

no mop enabled

!

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

no mop enabled

!

ip default-gateway 192.168.***.***

no ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 192.168.***.***

!

!

ip http server

ip nat pool no-overload 192.168.***.*** 192.168.***.*** prefix-length 24

ip nat inside source list 10 pool no-overload

!

access-list 10 permit 192.168.1.0 0.0.0.255
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq domain
access-list 100 permit udp any any eq domain
access-list 100 permit tcp any any established
access-list 100 deny ip any any
!

!

control-plane

!

banner motd ^CTesting router!^C

!

line con 0

line aux 0

line vty 0 4

login

!

scheduler allocate 20000 1000

!

JozuaR

woensdag 17 februari 2016 16:17

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:38

plizz

Ik zie geen niks in je configuratie.

Dit werkt prima bij mij:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

!<verkeer naar buiten>
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 101 permit icmp any any echo
access-list 101 deny   tcp any any
access-list 101 deny   udp any any
access-list 101 deny   icmp any any
int fa0/0
ip access-group 101 out

!<Verkeer naar binnen>
access-list 104 permit tcp any any established 
access-list 104 permit icmp any any echo-reply
access-list 104 permit icmp any any unreachable
access-list 104 deny   tcp any any
access-list 104 deny   udp any any
access-list 104 deny   icmp any any
int fa0/0
ip access-group 104 in

vrijdag 19 februari 2016 10:36

Acties:
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
Barreljan schreef op woensdag 17 februari 2016 @ 12:32:


ps. misschien ook wel lekker om wat ICMP echo/echo-reply toe te staan. Minimaal dit dan:
icmp echo
icmp echo-reply
icmp unreachable
icmp time-exceeded
waarvoor is dit eigenlijk??

JozuaR

vrijdag 19 februari 2016 10:41

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:38

plizz

Jozuaurk schreef op vrijdag 19 februari 2016 @ 10:36:
[...]


waarvoor is dit eigenlijk??
Om een IP adres te pingen of te traceroute.
Heb je nog iets aan mijn voorbeeld? Werkt de ACL nu?

vrijdag 19 februari 2016 10:44

Acties:
  • Jozuaurk
  • Registratie: Oktober 2012
  • Laatst online: 13-08 00:23

Jozuaurk

Topicstarter
plizz schreef op vrijdag 19 februari 2016 @ 10:41:
[...]

Om een IP adres te pingen of te traceroute.
Heb je nog iets aan mijn voorbeeld? Werkt de ACL nu?
Helaas werkte het niet maar aangezien de tijd ben ik verder gegaan met het configureren van andere zaken.

ik kom hier later op terug maar het hoort normaal te werken....

JozuaR

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq