Toon posts:

[cisco 836] Active ftp naar buiten lukt niet

Pagina: 1
Acties:

dinsdag 5 oktober 2004 15:17

Acties:

Verwijderd

Topicstarter
Bij een klant van mij lukt het niet om een sessie op te bouwen naar de ABN AMRO met electronic banking. Nu gebruikt men daar een Cisco 836 en ik weet helaas weinig van cisco routers.

Ik heb gezocht op het internet en vond daarbij artikel op Got:
cisco ISDN ACL mcafee autoupdate werkt niet

Hoewel dit niet helemaal mijn probleem is, lijkt het er wel op. Wat ik echter constateer is dat wanneer ik de firewall in de cisco uitschakel, de verbinding wel lukt. Misschien dat ik hier een denkfout maak, maar zonder Firewall, veranderd er toch niets in het feit dat ik via NAT verbind?
quote (uit genoemd artikel):

"De router moet dus de ftp dataverbinding monitoren, het opzetten van die verbinding afvangen, en het interne ip wijzigen in het externe ip (en daarvoor gelijk ook een NAT translation aanmaken)"

In mijn beleving gebeurd dat dus. Aangezien het niet meer werkt zo gauw de firewall aan staat, lijkt het er dus kennelijk op dat de firewall de inkomende connectie blokkeert.

Nu heb ik dus een aantal vragen:
* Ondersteunt deze cisco active-ftp uberhaupt?
* Kan ik er voor zorgen dat deze verbindingen wel worden toegestaan?
* Of kan ik anders voor de beide IP adressen van de bankservers de firewall omzeilen (deze als het ware in een "veilige zone" zetten? Overigens niet mijn eerste keus)

Onderstaande de config van de router:

Current configuration : 3947 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname *edit*
!
logging buffered informational
enable secret 5 *edit*
!
username CRWS_Giri privilege 15 password 7 *edit*
username itfs password 7 *edit*
username CRWS_Srini privilege 15 password 7 *edit*
username CRWS_Sangeetha privilege 15 password 7 *edit*
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.2
ip dhcp excluded-address 10.10.10.36
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
! 
!
!
!
!
interface Ethernet0
 description CRWS Generated text. Please do not delete this:10.10.10.254-255.255.255.0
 ip address 10.10.10.250 255.255.255.0 secondary
 ip address 10.10.10.254 255.255.255.0 secondary
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
!
interface BRI0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/48 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode etsi
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname *edit*
 ppp chap password 7 *edit*
 ppp pap sent-username d8audi@xs4all-basic-adsl password 7 *edit*
 hold-queue 224 in
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.36 20 interface Dialer1 20
ip nat inside source static tcp 10.10.10.2 110 interface Dialer1 110
ip nat inside source static tcp 10.10.10.2 25 interface Dialer1 25
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq pop3
access-list 111 permit tcp any any eq ftp-data
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!

[ Voor 1% gewijzigd door Koffie op 06-10-2004 10:05 . Reden: Code/Config opmaak ]

dinsdag 5 oktober 2004 15:35

Acties:
  • richard_kraal
  • Registratie: September 2001
  • Laatst online: 24-03-2025

richard_kraal

ik kan me iets herinneren dat je poorten moest open zetten, of "toestaan"

het gaat om een aantal servers

ff opgezocht:

Groepnaam: ABNServers

Hosts: ABNserver1 193.172.44.45

ABNserver2 193.172.44.78

ABNserver3 194.151.107.44

ABNserver4 194.151.107.76


Maak een accessrule van outside Groep ABNServers naar Inside (netwerk, pc of meerdere pc’s)

Pas deze rule toe met een tcp filter met aangepaste poorten in een service groep

Noem deze service ABNAmro en voeg de poorten 1024, ftp en ftp-data toe.

dinsdag 5 oktober 2004 16:27

Acties:
  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

Dacht dat dat ABN pakket gebruik maat van exotische ftp poorten maar dat weet ik niet meer 100% zeker.

There is no art to find the minds construction in the face

dinsdag 5 oktober 2004 16:51

Acties:

Verwijderd

Muppet schreef op 05 oktober 2004 @ 16:27:
Dacht dat dat ABN pakket gebruik maat van exotische ftp poorten maar dat weet ik niet meer 100% zeker.
Klopt idd :)

dinsdag 5 oktober 2004 17:48

Acties:

Verwijderd

Topicstarter
richardkraal schreef op 05 oktober 2004 @ 15:35:

...

Maak een accessrule van outside Groep ABNServers naar Inside (netwerk, pc of meerdere pc’s)

Pas deze rule toe met een tcp filter met aangepaste poorten in een service groep

Noem deze service ABNAmro en voeg de poorten 1024, ftp en ftp-data toe.
Ik ben een volledige cisco noob, dus ik zal morgen met de handleiding erbij zien dat ik dit in elkaar knutsel :)
Bedankt voor de reaktie, ik ben weer een stapje verder!

dinsdag 5 oktober 2004 18:56

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

lijtk me zo 123 niet inde exotische poorten zitten. Door je ip inspect statements wordt alles wat related is naar iets wat naar buiten is gegaan toegelaten. Dus ook exotische regels. Zie je pakketen gemtched worden aan de deny any any regel van acl 111

dinsdag 5 oktober 2004 20:43

Acties:
  • sniper20
  • Registratie: Januari 2002
  • Laatst online: 19-11-2025

sniper20

access-list 111 permit tcp host 193.172.44.45 any
access-list 111 permit tcp host 194.151.107.44 any
access-list 111 permit tcp host 193.172.44.78 any
access-list 111 permit tcp host 194.151.107.76 any

Is helemaal niets exotisch aan.

dinsdag 5 oktober 2004 22:43

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

de ip inspect maakt dynamisch regels in je inbound acl aan om ervoor te zorgen dat je verkeer terug kan krijgen van hosts/poorten die standaard niet in je inbound acl111 staan. Dus ook al maak je vbg met poorten die niet in je inbound acl staan ip inspect zou die gewoon door moeten laten

woensdag 6 oktober 2004 12:49

Acties:
  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

sniper20 schreef op 05 oktober 2004 @ 20:43:
access-list 111 permit tcp host 193.172.44.45 any
access-list 111 permit tcp host 194.151.107.44 any
access-list 111 permit tcp host 193.172.44.78 any
access-list 111 permit tcp host 194.151.107.76 any

Is helemaal niets exotisch aan.
Nee als je ALLE poorten toe laat heb je de exotische ook.

Bedoelde te zeggen dat dat abn pakket niet gebruikt maakt van poort 20 en 21 om te ftp-en.

There is no art to find the minds construction in the face

donderdag 7 oktober 2004 00:13

Acties:
  • DJ
  • Registratie: Januari 2000
  • Laatst online: 22:40

DJ

HomeNet werkt niet door Linux Gateway

Check dat topic maar eens. Daar staat heel veel info in (en een link naar een ander topic).

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

donderdag 7 oktober 2004 09:13

Acties:

Verwijderd

no access-list 111
access-list 111 remark rules below are for ABN AMRO servers
access-list 111 permit tcp host 193.172.44.45 any
access-list 111 permit tcp host 193.172.44.78 any
access-list 111 permit tcp host 194.151.107.44 any
access-list 111 permit tcp host 194.151.107.76 any
access-list 111 remark below the old access-list
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq pop3
access-list 111 permit tcp any any eq ftp-data
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any log

Als je een nieuwere IOS versie erin zit
dan kan je ook icmp opnemen ni je firewal en dan
lan deze bende eruit :) :

access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable


Verder moet je even die access-list 23 eruit halen die zit in de default cisco config
en je moet die access-list hiervan afhalen :
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0

verder zal deze acl statmenet
access-list 111 permit tcp any any eq ftp-data
niks uithalen
dit moet worden (even uit mijn hoofd)
access-list 111 permit tcp any any range ftp-data ftp

vrijdag 8 oktober 2004 08:50

Acties:

Verwijderd

Topicstarter
Iedereen bedankt voor de reakties. Ik kan dit helaas nu niet testen, dat zal in de loop van volgende week worden maar ik ben er van overtuigd dat het gaat lukken.

bedankt!

:)

vrijdag 8 oktober 2004 09:46

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Verwijderd schreef op 07 oktober 2004 @ 09:13:
Verder moet je even die access-list 23 eruit halen die zit in de default cisco config
en je moet die access-list hiervan afhalen :
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
en zo iedereen vanaf de ander kant laten inloggen. Die ACL zit daar niet voor niks. Het zorgt ervoor dat je alleen vanaf ip adressen in je lan segemnt getelnet kan worden. Prima dus in dit geval. Security moet nooit maar een hop zijn

vrijdag 8 oktober 2004 12:14

Acties:
  • ijdod
  • Registratie: April 2000
  • Laatst online: 22-02 17:44

ijdod

Als het inderdaad fout gaat door passive FTP op afwijkende poorten, dan kan je poorten aan de buitenkant openzetten tot je een ons weegt, maar dan gaat het nog steeds niet werken. De firewall herkent FTP aan het gebruikte poortnummer. Wil je dus FTPen over een afwijkende poort, dan zal je de firewall moeten vertellen dat de gewenste poort als FTP behandeld moet worden.

In theorie zou dat met ip port-map ftp port <nummer> moeten werken. Ik heb dat echter niet getest. Als dit werkt, heb je geen spannende access-lists nodig, maar alleen de ip inspect rule, en een simple deny rule. (voor ftp, anyway).

Root don't mean a thing, if you ain't got that ping...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq