Toon posts:

[CISCO] Hoe telnet uit te zetten op ISDN interfae

Pagina: 1
Acties:

vrijdag 19 april 2002 14:26

Acties:
  • vanwegen
  • Registratie: Mei 2000
  • Laatst online: 28-04 16:29

vanwegen

-:|:-

Topicstarter
Er staat hier een Cisco 801 router die de toegang tot het internet verzorgt.

Hij maakt met ISDN verbinding met het internet en op de Ethernet interface is de server aangesloten. Nu blijkt dat er een aantal poorten (waaronder telnet) vanaf het internet open staan. Die wil ik graag dichtspijkeren.
Aangezien wij nooit wat met cisco doen weet ik dus niet
hoe dat moet :). Kan iemand me een stap voor stap duwtje in de richting geven?
thanx

En toen was m'n signature weg :(

vrijdag 19 april 2002 15:09

Acties:
  • Arno
  • Registratie: Juli 2000
  • Laatst online: 22:21

Arno

PF5A

Staat hier niet iets tussen :?

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

vrijdag 19 april 2002 15:24

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

ik raad je aan een access list op je dialer te zetten te klussen ff kijken

Op je dialer configureer je een acces group 100
code:
1

router(config-if)#ip access-group 100

vervolgens maak je een access-list 100
code:
1
2
3

router(config)#access-list 100 deny tcp any any eq telnet
router(config)#access-list 100 permit tcp any any
router(config)#access-list 100 permit udp any any

dit moet werken asl ik het goed heb

vrijdag 19 april 2002 15:30

Acties:
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 01-05 09:48

pistole

Frutter

Op vrijdag 19 april 2002 15:24 schreef TrailBlazer het volgende:
ik raad je aan een access list op je dialer te zetten te klussen ff kijken

Op je dialer configureer je een acces group 100
code:
1

router(config-if)#ip access-group 100

vervolgens maak je een access-list 100
code:
1
2
3

router(config)#access-list 100 deny tcp any any eq telnet
router(config)#access-list 100 permit tcp any any
router(config)#access-list 100 permit udp any any

dit moet werken asl ik het goed heb
dan kom je er zelf ook niet bij
code:
1
2

router(config)#access-list 100 permit tcp <mijn werkstation of netwerk> <de_router> eq telnet
router(config)#access-list 100 deny tcp any  <derouter> eq telnet

zou dan beter zijn

Ik frut, dus ik epibreer

vrijdag 19 april 2002 15:36

Acties:

Verwijderd

Op vrijdag 19 april 2002 15:24 schreef TrailBlazer het volgende:
ik raad je aan een access list op je dialer te zetten te klussen ff kijken
Dit heeft wel als nadeel dat je ook niet meer door de router heen kan telnetten... (dus vanaf een computer aan de ene kant van de router naar een computer aan de andere kant)

je kunt beter iets als

access-list 100 permit tcp any any ack
access-list 100 deny tcp any any syn
access-list 100 permit tcp any any
access-list 100 permit udp any any eq 53
access-list 100 permit udp any any gt 1023
access-list 100 permit icmp any any

erop zetten...

Vergeet niet om de access-list ook aan de interface te kopppelen met
int dia 0
ip access-group 100 in

Bovenstaande accesslist blokkeert *alle* inkomende connecties. Als je wel inkomende connecties hebt, of udp verkeer van poorten <1024 wilt toestaan dan zal je 'm aan moeten passen... kijk voor meer info op de Cisco site...

Ik weet trouwens niet zeker of bovenstaande config op een 800 werkt...

vrijdag 19 april 2002 15:37

Acties:

Verwijderd

Op vrijdag 19 april 2002 15:30 schreef pistole het volgende:
dan kom je er zelf ook niet bij
Alleen als je binnenkomt door de interface waar je de access-list aan gekoppeld hebt, meestal zal dat niet de dialer-interface zijn...

vrijdag 19 april 2002 15:39

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Op vrijdag 19 april 2002 15:30 schreef pistole het volgende:

[..]

dan kom je er zelf ook niet bij
code:
1
2

router(config)#access-list 100 permit tcp <mijn werkstation of netwerk> <de_router> eq telnet
router(config)#access-list 100 deny tcp any  <derouter> eq telnet

zou dan beter zijn
Nee deze access group staat op de dialer ineterface en wordt dus alleen toegepast op verkeer naar de dialer. Ik neem aan dat hij het beheer alleen doet via het lokale netwerk en niet remote. Zoniet dan moet je natuurlijk je eigen ip vanbuiten ind eacceslist zetten daar heb je gelijk in.
Volgensmij gaat e rnog meer fout omdat er aan het eind van elke acces list een deny any any staat dus niks meer doorlaat behalve telnet verkeer vanaf jouw machine. Leuk een dedicated telnet router die niks anders kan :)

vrijdag 19 april 2002 15:41

Acties:
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 01-05 09:48

pistole

Frutter

blaat
het was een voorbeeld, ik ken die syntaxis niet uit mijn hoofd.. Die lijst is natuurlijk een stuk langer, allow alles dat je wilt, en verder deny.

Ik frut, dus ik epibreer

vrijdag 19 april 2002 15:41

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Op vrijdag 19 april 2002 15:36 schreef jeroenr het volgende:

[..]

Dit heeft wel als nadeel dat je ook niet meer door de router heen kan telnetten... (dus vanaf een computer aan de ene kant van de router naar een computer aan de andere kant)
Had ik ook al gezien ik ginng er ff van uit dat hij alles zo secure mogelijk wil hebben het zal wel gewoon een dialup zijn zonder eigen servers enzo. Hij kan dus het best alles onder de 1024 tegenhouden.

maandag 22 april 2002 11:13

Acties:
  • vanwegen
  • Registratie: Mei 2000
  • Laatst online: 28-04 16:29

vanwegen

-:|:-

Topicstarter
Om het een en ander te verduidelijken:

achter de cisco staat een exchange server die moet natuurlijk mail ontvangen op poort 25.

Het is nu zo dat je vanaf het internet met telnet de cisco kan configgen, leek mij niet helemaal de meest veilige oplossing :)

Verder mag alles inbound dicht.

(ik denk toch dat ik maar eens met een cisco simulator aan de slag moet :))

En toen was m'n signature weg :(

maandag 22 april 2002 11:20

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

dan werkt mijn oplossinmg dus gewoon goed de acl laat alles door behalve poort 23 en dat wil je
wat je ook kan doen
code:
1
2
3

router(config)#access-list 100 permit tcp any any eq smtp
router(config)#access-list 100 permit tcp any any gt 1023
router(config)#access-list 100 permit udp any any gt 1023

zo laatje niks door onder de 1024 behalve mail

maandag 22 april 2002 11:33

Acties:
  • Whizzer
  • Registratie: November 2000
  • Laatst online: 26-04 18:04

Whizzer

Flappie!

Ik weet niet o fhet kan op een 801, maar je kunt ook dit doen:
code:
1
2
3

router# conf t
router(config)# ip telnet source-interface Ethernet0
router(config)# end

Zo kun je alleen vanaf de Ethernet0 zijde naar de router telnetten... Maarja, of dit werkt op een 801???

Ik ben geweldig.. en bescheiden! En dat siert me...

maandag 22 april 2002 12:36

Acties:
  • vanwegen
  • Registratie: Mei 2000
  • Laatst online: 28-04 16:29

vanwegen

-:|:-

Topicstarter
Kan dat aan de gebruikte IOS versie liggen of is dat hardware afhankelijk?

Volgens mij staat er IOS 12.1 op, zonder de firewall tralala (daarvoor heeft ie te weinig geheugen :()

Ik ben nu niet op de zaak maak ga het gelijk proberen als ik er ben , alvast bedankt voor de hulp!

En toen was m'n signature weg :(

maandag 22 april 2002 14:14

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Op maandag 22 april 2002 12:36 schreef vanwegen het volgende:
Kan dat aan de gebruikte IOS versie liggen of is dat hardware afhankelijk?

Volgens mij staat er IOS 12.1 op, zonder de firewall tralala (daarvoor heeft ie te weinig geheugen :()

Ik ben nu niet op de zaak maak ga het gelijk proberen als ik er ben , alvast bedankt voor de hulp!
iedere ios heeft de mogelijkheid tot IOS volgens mij en 12.1 zeker

maandag 22 april 2002 19:22

Acties:

Verwijderd

Op vrijdag 19 april 2002 15:24 schreef TrailBlazer het volgende:
code:
1

router(config-if)#ip access-group 100
access-group 100 in

uitgaand wil je niets filteren lijkt me.
router(config)#access-list 100 permit tcp any any
router(config)#access-list 100 permit udp any any[/code]
dit moet werken asl ik het goed heb
permit IP. Er is meer dan alleen tcp en udp hoor..

maandag 22 april 2002 19:32

Acties:

Verwijderd

Tot zover de access lists op de interfaces.

Je kunt ook een access list op de line zetten:
code:
1
2
3
4
5
6
7
8

acces-list 1 permit <jouw ip>
acces-list 1 permit <eventueel nog een ip>
!
line vty 0 4
 access-class 1 in
 password 7 000D2C07096405091B1E5846080D3A04061E1C0D2E
 login
!

Let op: onder aan elke Cisco access-list staat een impliciete deny any.

maandag 22 april 2002 22:18

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 25-04 11:59

TrailBlazer

Karnemelk FTW

Op maandag 22 april 2002 19:22 schreef Grasvezel het volgende:

[..]

access-group 100 in

uitgaand wil je niets filteren lijkt me.
[..]
kanbest handig zijn hoor. Je kan bijvoorbeeld het ip van tweakers hier in zetten scheelkt een hoop bandbreedte
permit IP. Er is meer dan alleen tcp en udp hoor..
ja ik ha dgewoon ip moeten zetten stom
Pagina: 1
Reageer