Bij een klant van mij lukt het niet om een sessie op te bouwen naar de ABN AMRO met electronic banking. Nu gebruikt men daar een Cisco 836 en ik weet helaas weinig van cisco routers.
Ik heb gezocht op het internet en vond daarbij artikel op Got:
cisco ISDN ACL mcafee autoupdate werkt niet
Hoewel dit niet helemaal mijn probleem is, lijkt het er wel op. Wat ik echter constateer is dat wanneer ik de firewall in de cisco uitschakel, de verbinding wel lukt. Misschien dat ik hier een denkfout maak, maar zonder Firewall, veranderd er toch niets in het feit dat ik via NAT verbind?
quote (uit genoemd artikel):
"De router moet dus de ftp dataverbinding monitoren, het opzetten van die verbinding afvangen, en het interne ip wijzigen in het externe ip (en daarvoor gelijk ook een NAT translation aanmaken)"
In mijn beleving gebeurd dat dus. Aangezien het niet meer werkt zo gauw de firewall aan staat, lijkt het er dus kennelijk op dat de firewall de inkomende connectie blokkeert.
Nu heb ik dus een aantal vragen:
* Ondersteunt deze cisco active-ftp uberhaupt?
* Kan ik er voor zorgen dat deze verbindingen wel worden toegestaan?
* Of kan ik anders voor de beide IP adressen van de bankservers de firewall omzeilen (deze als het ware in een "veilige zone" zetten? Overigens niet mijn eerste keus)
Onderstaande de config van de router:
Ik heb gezocht op het internet en vond daarbij artikel op Got:
cisco ISDN ACL mcafee autoupdate werkt niet
Hoewel dit niet helemaal mijn probleem is, lijkt het er wel op. Wat ik echter constateer is dat wanneer ik de firewall in de cisco uitschakel, de verbinding wel lukt. Misschien dat ik hier een denkfout maak, maar zonder Firewall, veranderd er toch niets in het feit dat ik via NAT verbind?
quote (uit genoemd artikel):
"De router moet dus de ftp dataverbinding monitoren, het opzetten van die verbinding afvangen, en het interne ip wijzigen in het externe ip (en daarvoor gelijk ook een NAT translation aanmaken)"
In mijn beleving gebeurd dat dus. Aangezien het niet meer werkt zo gauw de firewall aan staat, lijkt het er dus kennelijk op dat de firewall de inkomende connectie blokkeert.
Nu heb ik dus een aantal vragen:
* Ondersteunt deze cisco active-ftp uberhaupt?
* Kan ik er voor zorgen dat deze verbindingen wel worden toegestaan?
* Of kan ik anders voor de beide IP adressen van de bankservers de firewall omzeilen (deze als het ware in een "veilige zone" zetten? Overigens niet mijn eerste keus)
Onderstaande de config van de router:
Current configuration : 3947 bytes ! version 12.3 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname *edit* ! logging buffered informational enable secret 5 *edit* ! username CRWS_Giri privilege 15 password 7 *edit* username itfs password 7 *edit* username CRWS_Srini privilege 15 password 7 *edit* username CRWS_Sangeetha privilege 15 password 7 *edit* no aaa new-model ip subnet-zero ip dhcp excluded-address 10.10.10.2 ip dhcp excluded-address 10.10.10.36 ! ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 ip audit notify log ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:10.10.10.254-255.255.255.0 ip address 10.10.10.250 255.255.255.0 secondary ip address 10.10.10.254 255.255.255.0 secondary ip address 10.10.10.1 255.255.255.0 ip nat inside no ip mroute-cache ! interface BRI0 no ip address shutdown ! interface ATM0 no ip address no ip mroute-cache atm vc-per-vp 64 no atm ilmi-keepalive pvc 8/48 encapsulation aal5mux ppp dialer dialer pool-member 1 ! dsl operating-mode etsi ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 no ip address duplex auto speed auto ! interface FastEthernet3 no ip address duplex auto speed auto ! interface FastEthernet4 no ip address duplex auto speed auto ! interface Dialer1 ip address negotiated ip access-group 111 in ip nat outside ip inspect myfw out encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname *edit* ppp chap password 7 *edit* ppp pap sent-username d8audi@xs4all-basic-adsl password 7 *edit* hold-queue 224 in ! ip nat inside source list 102 interface Dialer1 overload ip nat inside source static tcp 10.10.10.36 20 interface Dialer1 20 ip nat inside source static tcp 10.10.10.2 110 interface Dialer1 110 ip nat inside source static tcp 10.10.10.2 25 interface Dialer1 25 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server no ip http secure-server ! access-list 23 permit 10.10.10.0 0.0.0.255 access-list 102 permit ip 10.10.10.0 0.0.0.255 any access-list 111 permit tcp any any eq smtp access-list 111 permit tcp any any eq pop3 access-list 111 permit tcp any any eq ftp-data access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any log dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 no modem enable stopbits 1 line aux 0 line vty 0 4 access-class 23 in exec-timeout 120 0 login local length 0 !
[ Voor 1% gewijzigd door Koffie op 06-10-2004 10:05 . Reden: Code/Config opmaak ]