cisco : ip inspect + access lists

Ik heb een Cisco 828 geconfigureerd voor SDSL, dit werkt.
Nu wil ik deze verder beveiligen doormiddel van access-lists en ip inspect.
Ik heb dit al bij meerdere klanten lopen, echter dan op een 836 router.

Het probleem is dat met de ip inspect en de access-list op de dialer 0 interface ik geen internet connectie heb. Dat wil zeggen, wel een dhcp adres maar geen normaal verkeer mogelijk.
Zodra ik deze eraf haal dan is de connectie goed.
Ik heb met debug ip packet gekeken, en terugkomend verkeer lijkt wel geblockt te worden. Als ik een debug op access list 102 doe, dan zie ik niets geblockt worden.
Doe ik een debug ip packet op alles, dan zie ik wel terugkomend verkeer geblockt worden. Als ik de ip inspect rules weghaal, dus van de interface af heeft dit geen resultaat

Het rare is dat met andere routers deze configuratie wel heeft gewerkt.
Ik heb al een keer een write erase gedaan en alles opnieuw ingetypt, echter zonder resultaat.

De software versie is : c828-k9osy6-mz.123-4.T2.bin


Ik de heb de config erbij gezet, met de overbodige dingen weggelaten.

Heeft iemand een idee waar ik de fout in ga ? Of zit het in een softwarefoutje ?

Alvast bedankt

!
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect dns-timeout 10
ip inspect name inside tcp
ip inspect name inside udp
!
!
interface Ethernet0
ip address 192.168.10.254 255.255.255.0
ip nat inside

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
hold-queue 224 in
!
interface Dialer0
description Cisco 828 Business ADSL
ip address negotiated
ip nat outside
ip inspect inside in
ip access-group 102 in
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username xxxx@xxxx password xxxx

!

ip nat inside source route-map nonat interface Dialer0 overload

ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

!
!
access-list 101 permit ip any any
access-list 102 remark Incoming Internet via dialer 0
access-list 102 remark Permit IP Range VPN Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 permit esp any any
access-list 102 remark Open VPN Ports & Others
access-list 102 permit udp any host INTERNET_IP_ADRES eq isakmp log
access-list 102 permit tcp any host INTERNET_IP_ADRES eq smtp
access-list 102 remark Permit FTP
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq ftp-data any
access-list 102 permit tcp any any eq 22
access-list 102 remark Permit all incoming ICMP
access-list 102 permit icmp any any
access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
no cdp run
route-map nonat permit 10
match ip address 120
!
!

ijdod schreef op 26 februari 2004 @ 09:40:
Kell: nee dus. Daar is die IP inspect dus voor, zodat je dergelijke security gaten niet hoeft te maken.


Relaxteb: Verander de inspect inside in in inspect inside out. Je inspecteert immers het uitgaande verkeer, zodat CBAC je access-list kan aanpassen aan de behoeften. Als je geen poorten naar buiten open hebt staan, heb je aan een simpele deny any any voldoende.

Dus in basis, om van binnen naar buiten te kunnen:

!
ip inspect name inside tcp
!
int d0
ip inspect inside out
access-group 102 in
!
access-list 102 deny ip any any
!

Zelf zou ik minstens ook ip inspect name inside udp,ip inspect name inside ftp en ip inspect name inside icmp toevoegen; uiteraard naar behoefte. FTP is een goede, deze doet inspection, waardoor zowel active als passive werken. HTTP valt gewoon onder tcp.

Het uitbreiden van acl 102 heeft alleen zin als je ook de daarbij behorende poort open zet met een ip nat ... commando. Ik hou hierbij voor het gemak geen rekening met VPN verbindingen vanuit de router zelf.

Hou er rekening mee dat CBAC in een aantal 12.3 IOS versies niet goed werkt. (12.3(2)T1 werkt, twee kort daarna niet, recenter nog niet geprobeerd)

Ah tnx !

Ik ga het proberen !

Kan ik trouwens ook ip inspect uitschakelen en WEL met access-lists werken ?

[ Voor 3% gewijzigd door relaxteb op 26-02-2004 09:58 ]

Mooi ! Het is gelukt, echter weer een vreemd iets.
Het internet verkeer van binnen naar buiten lukte nadat ik een IP INSPECT INSIDE OUT rule had toegevoegd op de dialer 0 interface

Wat ik wel vreemd vind is dat http toch gebruik maakt van tcp ? Dus zou een aparte http inspect rule toch niet nodig zijn ?

Ten tweede, als ik nu met mijn vpn client connectie maakte kon ik niet de server overnemen bv met terminal services.

Ik heb toen ook de IP INSPECT INSIDE IN rule toegevoegd op de dialer 0.

Dit werkte, weer vreemd vind ik.
Want er hangt geen access list voor het uitgaande verkeer op de dialer 0 interface, dus zou een ip inspect rule toch niet nodig zijn ??!

Ben ik nou zo onkundig ??

ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect dns-timeout 10
ip inspect name inside tcp
ip inspect name inside udp
ip inspect name inside ftp
ip inspect name inside http
ip inspect name inside icmp
!
!
interface Ethernet0
ip address 192.168.10.254 255.255.255.0
ip nat inside
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
hold-queue 224 in
!
interface Dialer0
description Cisco 828 Business ADSL
ip address negotiated
ip access-group 102 in
ip nat outside
ip inspect inside in
ip inspect inside out
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
no cdp enable
ppp authentication pap callin
ppp pap sent-username xxxxxxx@xxxxxxx password xxxxxx
!
ip local pool xxxxxxxx_pool 192.168.5.1 192.168.5.254
ip nat inside source route-map nonat interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
!
access-list 101 permit ip any any
access-list 102 remark Incoming Internet via dialer 0
access-list 102 remark Permit IP Range VPN Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 permit esp any any
access-list 102 remark Open VPN Ports & Others
access-list 102 permit udp any host INTERNET_IP_ADRES eq isakmp log

access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
no cdp run
route-map nonat permit 10
match ip address 120
!
!

Ik mis zowiezo een ip nat statement die uberhaupt verkeer van buiten naar binnen doorlaat . Ben het er wel mee eens dat dit niet zou moeten werken, maar vpn en acls' kan een erg leuke puzzel zijn, omdat eea in de router via andere paden wordt geleid, en daardoor soms voor of achter een acl terechtkomt waar je dat niet verwacht.

De NAT statement stond in de config: ip nat inside source route-map nonat interface Dialer0 overload. Dit is voor het internet verkeer.
Het vpn verkeer wil ik natuurlijk niet natten :)(NONAT)
En omdat vpn clients full access hebben op de router hoef ik dus alleen op de machine erachter een poort open te zetten, in mijn geval dus terminal services.

Het toevoegen (is al eerder gesteld) van een explicitiete deny any any log als laatste statement in acl 102 kan met troubleshooten helpen.

Gaat ik doen

Bedankt voor je hulp, ik ben weer een stuk wijzer !