---

Hej

Ingen kan åbenbart svare i dk.edb.netvaerk, så jeg prøver, om nogen har
styr på den slags her

Vi ligger inde med en Cisco 677 på mit arbejde.

Nu er vi efterånden ved at være nået op på et uoverskueligt antal
NAT-regler i routeren, og da der alligevel står en linux-firewall på
bagsiden og gør næsten det samme, ville jeg gerne flytte så mange regler
til firewallen for kun at have et sted at vedligeholde...

Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
firewallen i stedet for enkelte porte. Kan:

set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp

gøre dette? Og hvordan gør man med ICMP - der er jo ikke defineret
portnumre?

Aller helst så jeg firewallen sidde med den globale IP selv. Men jeg er
lidt bekymret for at bruge "set rfc1483 enable". Kan jeg blot gøre det - og
stadig blot tage strømmen uden at have brugt "write" og sidde med den gamle
konfiguration igen?

Kan det overhovedet lade sig gøre at slå RFC1483 bridging til (jeg kender
jo netmaske, IP og gateway fra routerens WAN-konfiguration)? Det ser ud til
at der bruges noget PPPoe, men kan jeg blot hardkode IP-konfigurationen på
firewallen bag routeren?

Pft.
Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Because I don't want to force you to follow my philosophy, even though
it happens to be the only possible correct philosophy.
-- Ted Lemon
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus =?ISO-8859-15?Q?B=F8g?= Hansen <moffespam@amagerkollegiet.dk>
wrote in news:a4e8bt$c57$1@carlsberg.amagerkollegiet.dk:


> Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
> firewallen i stedet for enkelte porte. Kan:
>
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp
>
> gøre dette?

Ja



Og hvordan gør man med ICMP - der er jo ikke defineret
> portnumre?

Det lyder ulogisk, men ICMP bliver rent faktisk forwardet med denne NAT-
entry:

set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 icmp

>
> Kan det overhovedet lade sig gøre at slå RFC1483 bridging til (jeg
> kender jo netmaske, IP og gateway fra routerens WAN-konfiguration)?

Ja, det kan sagtens lade sig gøre - såfremt udstyret på centralen er
konfigureret til det. Det skal du dog ikke regne med det er. Men mon ikke
din udbyder kan tilbyde dig en løsning?

--

Mvh. Simon Pedersen

---

Simon H. Pedersen wrote:

>> Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
>> firewallen i stedet for enkelte porte. Kan:
>>
>> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
>> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp
>>
>> gøre dette?
>
> Ja
>
>
>
> Og hvordan gør man med ICMP - der er jo ikke defineret
>> portnumre?
>
> Det lyder ulogisk, men ICMP bliver rent faktisk forwardet med denne NAT-
> entry:
>
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 icmp

Ah, takker mange gange. Det vil jeg prøve næste gang, jeg er på arbejde!

>> Kan det overhovedet lade sig gøre at slå RFC1483 bridging til (jeg
>> kender jo netmaske, IP og gateway fra routerens WAN-konfiguration)?
>
> Ja, det kan sagtens lade sig gøre - såfremt udstyret på centralen er
> konfigureret til det. Det skal du dog ikke regne med det er. Men mon ikke
> din udbyder kan tilbyde dig en løsning?

Det er af ren komfort. Hvis jeg skal have udbyderen til at tilbyde noget,
gider jeg ikke rode med det. Det var bare rart at have slået til, hvis man
kunne klare det out-of-the-box NAT af alle porte burde jo være næsten
lige så godt...

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
There's no point in being grown up if you can't be childish sometimes.
-- Dr. Who
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:a4eevc$jci$1@carlsberg.amagerkollegiet.dk...
> Simon H. Pedersen wrote:

> > set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 icmp

er det seriøst? ehehe... sort.

/j

---

"jakob wolffhechel" <themuss@it.removethis.com> wrote in news:a4gs8t$bqa$2
@sunsite.dk:

> er det seriøst? ehehe... sort.

Helt seriøst.

--

Mvh. Simon Pedersen

---

"Simon H. Pedersen" <simon@SPAMNEJTAKemail.dk> wrote in message
news:Xns91B5BD1484D2Finvalidinvalidinvali@212.242.43.176...
> "jakob wolffhechel" <themuss@it.removethis.com> wrote in news:a4gs8t$bqa$2
> @sunsite.dk:
>
> > er det seriøst? ehehe... sort.
>
> Helt seriøst.

still pitch black

/j

---

jakob wolffhechel wrote:

>
> "Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
> news:a4eevc$jci$1@carlsberg.amagerkollegiet.dk...
>> Simon H. Pedersen wrote:
>
>> > set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 icmp
>
> er det seriøst? ehehe... sort.

Egentlig også for mig...

Hvad sker der, hvis man bruger 1-4, 110-1000, 5273-22 eller andre fjollede
portområder? Porte giver jo ikke rigtig mening ifm. ICMP...

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
The day Microsoft makes something that does not suck,
is probably the day they start making vacuum cleaners.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:a4hlb3$lg3$1@carlsberg.amagerkollegiet.dk...
> Egentlig også for mig...
>
> Hvad sker der, hvis man bruger 1-4, 110-1000, 5273-22 eller andre fjollede
> portområder? Porte giver jo ikke rigtig mening ifm. ICMP...

Korrekt, men jeg må være dig et svar skyldig. Jeg har blot konstateret at
67x'ere videresender ICMP-requests når man laver en sådan NAT-entry.

--

Mvh. Simon Pedersen

---

----- Original Message -----
From: "Simon H. Pedersen" <simon@SPAMNEJTAKemail.dk>
Newsgroups: dk.edb.internet.udbydere.xdsl
Sent: Friday, February 15, 2002 11:17 AM
Subject: Re: Cisco 677 NAT/bridging

> > Hvad sker der, hvis man bruger 1-4, 110-1000, 5273-22 eller andre
fjollede
> > portområder? Porte giver jo ikke rigtig mening ifm. ICMP...
>
> Korrekt, men jeg må være dig et svar skyldig. Jeg har blot konstateret at
> 67x'ere videresender ICMP-requests når man laver en sådan NAT-entry.


hvorfor ikke bare lave en forward uden protokollerne... så tager den jo alle
protokoller med.. osse 47 eller hvad det er den der vpn protokol hedder...

/j

---

jakob wolffhechel wrote:

>> Korrekt, men jeg må være dig et svar skyldig. Jeg har blot konstateret at
>> 67x'ere videresender ICMP-requests når man laver en sådan NAT-entry.
>
>
> hvorfor ikke bare lave en forward uden protokollerne... så tager den jo
> alle protokoller med.. osse 47 eller hvad det er den der vpn protokol
> hedder...

Hvordan gør man det - undlader man blot protokollen såsom her?

set nat entry add 10.0.0.9 1-65535 <ip> 1-65535

Jeg må nok indrømme, at jeg ikke er imponeret af Ciscos dokumentation...

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Those who write "Optimized for Netscape" og "Best viewed with MSIE" never
figured out the difference between the WWW and a Word Perfect 4.2 Document.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:

>> hvorfor ikke bare lave en forward uden protokollerne...
>
> Hvordan gør man det - undlader man blot protokollen såsom her?

set nat entry add 10.0.0.9

> Jeg må nok indrømme, at jeg ikke er imponeret af Ciscos dokumentation...

Jeg synes nu at
<http://www.cisco.com/univercd/cc/td/doc/product/dsl_prod/c600s/cbos/cbos240/03chap02.htm> er rimelig let at forstå.

--
Jacob - www.bunk.cc
One family builds a wall, two families enjoy it.

---

On Fri, 15 Feb 2002 19:15:16 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote:

>Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
>
>>> hvorfor ikke bare lave en forward uden protokollerne...
>>
>> Hvordan gør man det - undlader man blot protokollen såsom her?
>
>set nat entry add 10.0.0.9
>
>> Jeg må nok indrømme, at jeg ikke er imponeret af Ciscos dokumentation...
>
>Jeg synes nu at
><http://www.cisco.com/univercd/cc/td/doc/product/dsl_prod/c600s/cbos/cbos240/03chap02.htm> er rimelig let at forstå.

Smag og behag er som sagt forskellig, men sammenlignet med ordentlig
og solid teknisk dokumentation, er det et mangelfuldt til elendigt
dokument.

Det er muligt, at det kan finde nåde til hobbybrug, hvor det ikke
betyder så meget, at en person skal bruge timer på at finde ud af
"sammenhænge" eller "grænser", men til f.eks. seriøs brug, er
dokumentet ikke noget at råbe hurra for (jeg ved, jeg ved... mange
laver det endnu værre, og i Linux verdenen er dokumentation noget, der
altid kommer om tre måneder eller "real soon now", men alligevel

Åh... det lettede!!!!

Venlig hilsen og smil

Kurt Friis Hansen - almost: kfriis#kfriis:dk
---
A bribe a day keeps the tax man away.
Life has a one hundred percent mortality rate.
One picture kills more bandwidth, than a thousand words.

---

Kurt Friis Hansen <nospam@kfriis.dk> writes:

>>Jeg synes nu at
>><http://www.cisco.com/univercd/cc/td/doc/product/dsl_prod/c600s/cbos/cbos240/03chap02.htm> er rimelig let at forstå.
>
> Smag og behag er som sagt forskellig, [ ... ]

Hmmm, tjo.

> [ ... ] og i Linux verdenen er dokumentation noget, der
> altid kommer om tre måneder eller "real soon now", men alligevel

Jeg oplever lige det modsatte så længe vi snakker om de lidt mere
seriøse projekter.

> Åh... det lettede!!!!

Ja, det håber jeg

FUT til dk.snak.off-topic

--
Jacob - www.bunk.cc
Disk crisis, please clean up!

---

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a4e8bt$c57$1@carlsberg.amagerkollegiet.dk...
> Hej
>
> Ingen kan åbenbart svare i dk.edb.netvaerk, så jeg prøver, om nogen har
> styr på den slags her
>
> Vi ligger inde med en Cisco 677 på mit arbejde.
>
> Nu er vi efterånden ved at være nået op på et uoverskueligt antal
> NAT-regler i routeren, og da der alligevel står en linux-firewall på
> bagsiden og gør næsten det samme, ville jeg gerne flytte så mange regler
> til firewallen for kun at have et sted at vedligeholde...
>
> Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
> firewallen i stedet for enkelte porte. Kan:
>
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp

Så vidt jeg ved kan du kun forwarde cirka 200 porte, så det der burde i
teorien ikke holde!!
Dog ville jeg kigge i min dejlige uforståelige manual eller prøve at spørge
i en netværksnyhedsgruppe. Måske endda
snakke med Cisco support!

IMCP har jeg ikk styr på - ikke engang begrebet :)

Mvh.:
Peter Jensen

---

"Peter Jensen" <mentor@haiku.dk> wrote in
news:a4ems6$1usg$1@news.cybercity.dk:

> Så vidt jeg ved kan du kun forwarde cirka 200 porte, så det der burde i
> teorien ikke holde!!

Men kan forwarde alle de porte man har lyst til. Begrænsningen ligger i
antallet af NAT-entries. De 116 som 67x'eren kan klare er dog mere end
rigeligt for stort set alle.

> Dog ville jeg kigge i min dejlige uforståelige manual eller prøve at
> spørge i en netværksnyhedsgruppe. Måske endda
> snakke med Cisco support!

Hvorfor? Han er jo blevet svaret.

--

Mvh. Simon Pedersen

---

"Simon H. Pedersen" <simon@SPAMNEJTAKemail.dk> wrote in message
news:Xns91B4EE31458ACinvalidinvalidinvali@212.242.43.176...
> Hvorfor? Han er jo blevet svaret.

gu er han så... gentleman

/j

---

jakob wolffhechel wrote:

>
> "Simon H. Pedersen" <simon@SPAMNEJTAKemail.dk> wrote in message
> news:Xns91B4EE31458ACinvalidinvalidinvali@212.242.43.176...
>> Hvorfor? Han er jo blevet svaret.

Ja, men jeg får først afprøvet det mandag

> gu er han så... gentleman

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
[...] Note that 120 sec is defined in the protocol as the maximum
possible RTT. I guess we'll have to use something other than TCP
to talk to the University of Mars.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Cisco 677 kan sættes til:

RFC1483 briding
RFC1483 routing (statisk IP)
PPP (loginnavn + adgangskode)
DHCP

I langt de fleste tilfælde anvender udbyderne (eksempelvis Tiscali og
Cybercity) PPP med et navn/adgangskode til login for at få en IP-adresse på
Internet. Det er så denne IP-adresse routeren NAT'er til.

Det er ikke muligt at erstatte RFC1483 routing eller PPP med
RFC1483-bridging og derefter sætte en Linux/W2K bag Cisco-routeren i bridge
mode.

Hvis du derimod har en udbyder, der anvender PPPoE (eksempelvis TDC), kan du
sætte routeren i bridge mode, og her skal Linux/W2K blot køre PPPoE-klient.
Denne funktion har XP i øvrigt fra starten.

mvh

Regnar Ingversen

"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> wrote in message
news:a4e8bt$c57$1@carlsberg.amagerkollegiet.dk...
> Hej
>
> Ingen kan åbenbart svare i dk.edb.netvaerk, så jeg prøver, om nogen har
> styr på den slags her
>
> Vi ligger inde med en Cisco 677 på mit arbejde.
>
> Nu er vi efterånden ved at være nået op på et uoverskueligt antal
> NAT-regler i routeren, og da der alligevel står en linux-firewall på
> bagsiden og gør næsten det samme, ville jeg gerne flytte så mange regler
> til firewallen for kun at have et sted at vedligeholde...
>
> Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
> firewallen i stedet for enkelte porte. Kan:
>
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp
>
> gøre dette? Og hvordan gør man med ICMP - der er jo ikke defineret
> portnumre?
>
> Aller helst så jeg firewallen sidde med den globale IP selv. Men jeg er
> lidt bekymret for at bruge "set rfc1483 enable". Kan jeg blot gøre det -
og
> stadig blot tage strømmen uden at have brugt "write" og sidde med den
gamle
> konfiguration igen?
>
> Kan det overhovedet lade sig gøre at slå RFC1483 bridging til (jeg kender
> jo netmaske, IP og gateway fra routerens WAN-konfiguration)? Det ser ud
til
> at der bruges noget PPPoe, men kan jeg blot hardkode IP-konfigurationen på
> firewallen bag routeren?
>
> Pft.
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Because I don't want to force you to follow my philosophy, even though
> it happens to be the only possible correct philosophy.
> -- Ted Lemon
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Regnar Ingversen wrote:

> Cisco 677 kan sættes til:
>
> RFC1483 briding
> RFC1483 routing (statisk IP)
> PPP (loginnavn + adgangskode)
> DHCP
>
> I langt de fleste tilfælde anvender udbyderne (eksempelvis Tiscali og
> Cybercity) PPP med et navn/adgangskode til login for at få en IP-adresse
> på Internet. Det er så denne IP-adresse routeren NAT'er til.
>
> Det er ikke muligt at erstatte RFC1483 routing eller PPP med
> RFC1483-bridging og derefter sætte en Linux/W2K bag Cisco-routeren i
> bridge mode.
>
> Hvis du derimod har en udbyder, der anvender PPPoE (eksempelvis TDC), kan
> du sætte routeren i bridge mode, og her skal Linux/W2K blot køre
> PPPoE-klient. Denne funktion har XP i øvrigt fra starten.

Ah, tak for det klare svar.

Jeg dropper bare bridfing-ideen så

Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
God, root, what is difference?
God is more forgiving.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

> Det, jeg kunne tænke mig var at forwarde al indkommende trafik til
> firewallen i stedet for enkelte porte. Kan:
>
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 udp
> set nat entry add 10.0.0.9 1-65535 <ip> 1-65535 tcp
>
> gøre dette? Og hvordan gør man med ICMP - der er jo ikke defineret
> portnumre?

denne forfarder alt fra ydersiden af din 677 til specificeret ip nummer her
10.0.0.1 dette ipnummer skal lægge på samme LAN som 677'erens ethernet
interface (eth0) og eth0 skal køre samme ip net f.eks. 10.0.0.2/24

set nat entry add 10.0.0.1

Mvh. Kasper