Toon posts:

[cisco] port forward met 800 serie

Pagina: 1
Acties:

maandag 7 juni 2004 13:15

Acties:
  • Bjurrun
  • Registratie: Februari 2001
  • Laatst online: 16-03 22:35

Bjurrun

Topicstarter
Ik heb het volgende probleem. Ik heb op mijn werk een Demon DSL Business Express verbinding icm een Cisco 836 router. Internetten werkt prima. Nu wil ik voor de medewerkers die niet veel op onze lokatie aanwezig zijn webmail aan gaan aanbieden. Hiervoor heb ik de config van de router aangepast zoals hieronder is weergegeven. Het is de bedoeling dat de router (ip 192.168.1.254) een forward maakt naar de mailserver met ip 192.168.1.1 op port 80 en 443. Ik heb op google, cisco en hier op tweakers gezocht maar kom er niet uit en ben niet echt thuis in de wereld die Cisco heet. Kan iemand mij helpen?

no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cisco836
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxx
!
clock timezone Europe/Berlin 1
clock summer-time Europe/Berlin date Mar 30 2003 2:00 Oct 26 2003 3:00
no aaa new-model
ip subnet-zero
no ip source-route
ip tcp synwait-time 10
no ip domain lookup
!
!
no ip bootp server
ip cef
ip inspect tcp synwait-time 15
ip inspect tcp max-incomplete host 50 block-time 10
ip inspect name firewall udp timeout 15
ip inspect name firewall tcp timeout 1800
ip inspect name firewall cuseeme timeout 3600
ip inspect name firewall ftp timeout 3600
ip inspect name firewall h323 timeout 3600
ip inspect name firewall icmp timeout 3600
ip inspect name firewall rcmd timeout 3600
ip inspect name firewall realaudio timeout 3600
ip inspect name firewall smtp timeout 3600
ip inspect name firewall sqlnet timeout 3600
ip inspect name firewall streamworks timeout 3600
ip inspect name firewall tftp timeout 3600
ip inspect name firewall vdolive timeout 3600
ip audit notify log
ip audit po max-events 100
ip audit attack action reset
ip ssh time-out 60
ip ssh authentication-retries 2
no ftp-server write-enable
!
!
!
no crypto isakmp enable
!
!
bridge irb
!
!
interface Null0
no ip unreachables
!
interface Ethernet0
no shutdown
ip address 192.168.1.254 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache flow
no ip mroute-cache
no cdp enable
hold-queue 100 out
!
interface ATM0
no shutdown
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
bridge-group 1 spanning-disabled
hold-queue 224 in
!
interface BVI1
ip address dhcp client-id Ethernet0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect firewall out
ip route-cache flow
!
ip nat inside source static tcp 192.168.1.1 80 interface BVI1 80
ip nat inside source static tcp 192.168.1.1 443 interface BVI1 443
ip nat inside source list 102 interface BVI1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 BVI1
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
!
!
logging trap debugging
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.254 eq telnet
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.254 eq 22
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.254 eq www
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.254 eq 443
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.254 eq cmd
access-list 100 deny tcp any host 192.168.1.254 eq telnet
access-list 100 deny tcp any host 192.168.1.254 eq 22
access-list 100 deny tcp any host 192.168.1.254 eq www
access-list 100 deny tcp any host 192.168.1.254 eq 443
access-list 100 deny tcp any host 192.168.1.254 eq cmd
access-list 100 deny udp any host 192.168.1.254 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 permit tcp any any eq 80
access-list 111 permit tcp any any eq 443
access-list 111 deny icmp any any administratively-prohibited
access-list 111 deny icmp any any echo
access-list 111 deny icmp any any echo-reply
access-list 111 deny icmp any any packet-too-big
access-list 111 deny icmp any any time-exceeded
access-list 111 deny icmp any any traceroute
access-list 111 deny icmp any any unreachable
access-list 111 deny icmp any any redirect
access-list 111 deny ip any any log
no cdp run
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^
!
line con 0
login local
no modem enable
transport preferred all
transport output telnet
stopbits 1
line aux 0
login local
transport preferred all
transport output telnet
line vty 0 4
access-class 101 in
privilege level 15
login local
length 0
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
scheduler interval 500
!
end

[ Voor 1% gewijzigd door Bjurrun op 07-06-2004 19:10 . Reden: Typo in de config zoals MASH_MAN aangeeft ]

maandag 7 juni 2004 13:49

Acties:

Verwijderd

waarom forward je beide poorten naar 443 intern ?

waarom inspecteer je alleen naar buiten gaand en niet inkomend verkeer ?

[ Voor 45% gewijzigd door Verwijderd op 07-06-2004 16:07 ]

maandag 7 juni 2004 18:52

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 17:06

Predator

Suffers from split brain

PNS -> NT

Everybody lies | BFD rocks ! | PC-specs

maandag 7 juni 2004 19:06

Acties:
  • Bjurrun
  • Registratie: Februari 2001
  • Laatst online: 16-03 22:35

Bjurrun

Topicstarter
Dat van die 443 is inderdaad een foutje. Dat van die stateful alleen naar buiten is nu even niet van belang, zou wel mooier zijn als inkomend en uitgaand verkeer wordt gescaned. Alleen vind ik dat op het moment niet belangrijk.

maandag 7 juni 2004 21:02

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 08:25

_nethack

We're all MAD here

Zet achter je portmappings (ip nat inside source static.....) ook eens de optie 'overload'
Ik weet niet exact uit te leggen wat die doet, maar wel dat je die nodig hebt als je gaat NATten vanaf meerdere interne adressen naar één extern (interface)adres.

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 7 juni 2004 21:35

Acties:

Verwijderd

Tja, voor de rest zie ik niet veel manco's je kunt even kijken of je wel hits krijgt op je access list entry's met

show ip access-list 100

en sh ip access-list 111

en je kunt in je nat tabel kijken of je port maps aangesproken worden

met sh ip nat trans | inc 0050

en sh ip nat trans | inc 01BB

Je zou ook een permit voor de betreffende services met een log optie kunnnen toevoegen hoog in je access-list om te zien of de packeten wel binnen komen.

als je met telnet werkt wel even een term mon geven om de hits zichtbaar te maken.

[ Voor 72% gewijzigd door Verwijderd op 07-06-2004 21:40 ]

maandag 7 juni 2004 21:44

Acties:

Verwijderd

ik zit me net wat te bedenken,

volgens mij moet je je http shttp server van je router uit zetten, hoe weet de router anders of je naar de eigen wil of dat je door gezet moet worden ?

je kunt ook even

ip http port 81

en

ip http secure-port 444

in kloppen om de interne web server even te verplaatsen.

dat moet het zijn !

maandag 7 juni 2004 22:06

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 08:25

_nethack

We're all MAD here

Verwijderd schreef op 07 juni 2004 @ 21:44:
volgens mij moet je je http shttp server van je router uit zetten, hoe weet de router anders of je naar de eigen wil of dat je door gezet moet worden ?
Dat weet ie omdat er aan de buitenkant (op het interface adres) een poortmapping is gedefinieerd.

Om dit werkend te krijgen hoeft de interne webserver dus niet uit of naar een andere poort. Neemt niet weg dat die webinterface nou niet echt spannend is en dus zowiezo eigenlijk wel uit mag :)

[ Voor 22% gewijzigd door _nethack op 07-06-2004 22:07 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 7 juni 2004 23:10

Acties:

Verwijderd

_nethack schreef op 07 juni 2004 @ 22:06:
[...]

Dat weet ie omdat er aan de buitenkant (op het interface adres) een poortmapping is gedefinieerd.

Om dit werkend te krijgen hoeft de interne webserver dus niet uit of naar een andere poort. Neemt niet weg dat die webinterface nou niet echt spannend is en dus zowiezo eigenlijk wel uit mag :)
maar wat is het dan wel, een overload kan niet op een static pat.

maandag 7 juni 2004 23:35

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 08:25

_nethack

We're all MAD here

Weet niet of het niet kan, maar het hoeft inderdaad niet. (Zie ik aan de config op m'n eigen router)
De config zoals bovenaan gepost zou gewoon moeten werken, zeker als ik het vergelijk met mijn eigen config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

interface Ethernet0
 ip address 172.16.0.254 255.255.0.0
 ip nat inside
 hold-queue 100 out

interface BVI1
 ip address dhcp
 ip access-group firewall in
 ip access-group outgoing out
 ip nat outside

ip nat inside source list 1 interface BVI1 overload
ip nat inside source static tcp 172.16.0.101 80 interface BVI1 80

ip access-list extended firewall
 permit tcp any host <outside ip> eq www
 permit icmp any any
 evaluate tcptraffic
 evaluate udptraffic
 evaluate icmptraffic
 deny   ip any any log

ip access-list extended outgoing
 permit tcp any any reflect tcptraffic
 permit udp any any reflect udptraffic
 permit icmp any any reflect icmptraffic
 permit ip any any

access-list 1 permit 172.16.0.0 0.0.255.255

(Alleen relevante delen; deze config werkt)

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 7 juni 2004 23:57

Acties:
  • Bjurrun
  • Registratie: Februari 2001
  • Laatst online: 16-03 22:35

Bjurrun

Topicstarter
Ik vind het dus ook raar dat het niet werkt. Ik heb enorm veel sites bekeken en zie overal dat ik het op de manier moet doen zoals hierboven is aangegeven. Echter zie ik wel in sommige configs extendable achter de static nat rules staan, alleen als ik dat doe dan is de console er niet blij mee. Overigens gebruik ik IOS 12.3(4)T4.
Het vreemde is dat ik op mijn router thuis, een Cisco 837 icm een Demon DSL Express verbinding en nagenoeg dezelfde config ook port forwards heb gemaakt. Hiervan doen er een aantal helemaal niets en een aantal werken gewoon.

ip nat inside source static udp 192.168.1.14 7777 interface BVI1 7777
ip nat inside source static udp 192.168.1.14 14567 interface BVI1 14567
ip nat inside source static udp 192.168.1.14 15567 interface BVI1 15567
ip nat inside source static udp 192.168.1.14 22000 interface BVI1 22000
ip nat inside source static udp 192.168.1.14 23000 interface BVI1 23000
ip nat inside source static udp 192.168.1.14 23001 interface BVI1 23001
ip nat inside source static udp 192.168.1.14 23002 interface BVI1 23002
ip nat inside source static udp 192.168.1.14 23003 interface BVI1 23003
ip nat inside source static udp 192.168.1.14 23004 interface BVI1 23004
ip nat inside source static udp 192.168.1.14 23005 interface BVI1 23005
ip nat inside source static udp 192.168.1.14 23006 interface BVI1 23006
ip nat inside source static udp 192.168.1.14 23007 interface BVI1 23007
ip nat inside source static udp 192.168.1.14 23008 interface BVI1 23008
ip nat inside source static udp 192.168.1.14 23009 interface BVI1 23009
ip nat inside source static udp 192.168.1.14 27900 interface BVI1 27900
ip nat inside source static tcp 192.168.1.14 28900 interface BVI1 28900
ip nat inside source static tcp 192.168.1.15 20 interface BVI1 20
ip nat inside source static tcp 192.168.1.15 21 interface BVI1 21

Het lijkt erop dat udp forwards wel werken en de tcp niet. Als ik een potje battlefield of UT host dan gaat dit prima.

dinsdag 8 juni 2004 08:21

Acties:

Verwijderd

Hmm, een T, daar ben ik niet zo dol op, al plenty bad's gezien, ik hou het toch het liefste op 12.3.5c of 12.3.9, de 12.3.4t hadden op mijn 3600 series al veel nat problemen i.c.m. firewall feature set.

dinsdag 8 juni 2004 09:06

Acties:
  • Bjurrun
  • Registratie: Februari 2001
  • Laatst online: 16-03 22:35

Bjurrun

Topicstarter
Ik heb het nu gedaan zoals operations het ook heeft gedaan, dus met extended access-lists. Het ziet er naar uit dat dit gewoon goed werkt.
Pagina: 1
Reageer