/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Filtre i Cisco 677
Fra : René Iversen


Dato : 25-10-02 06:40

Jeg sidder og roder med filtre, men kan bare ikke få det til at virke.

Mit ønske er, at som standard skal ALLE ip'er være nægtet udgående og
indgående trafik. Og så skal der sættes filter op så fx ip 10.0.0.10 har
adgang som om ingen filtre var sat op...Det ender hele tiden med at der ikke
er forbindelse til nettet fra 10.0.0.10 så jeg gør jo nok noget forkert.

Mvh.

René



 
 
Jørn Andersen (25-10-2002)
Kommentar
Fra : Jørn Andersen


Dato : 25-10-02 14:36

On Fri, 25 Oct 2002 07:39:43 +0200, "René Iversen" <spam@riversen.dk>
wrote:

>Jeg sidder og roder med filtre, men kan bare ikke få det til at virke.
>
>Mit ønske er, at som standard skal ALLE ip'er være nægtet udgående og
>indgående trafik. Og så skal der sættes filter op så fx ip 10.0.0.10 har
>adgang som om ingen filtre var sat op...Det ender hele tiden med at der ikke
>er forbindelse til nettet fra 10.0.0.10 så jeg gør jo nok noget forkert.

Der kan være flere problemer, så fortæl, hvad du har gjort.

Måske handler det om rækkefølgen af filtrene. Filtrene med de laveste
numre læses først, så hvis du sætter det laveste filter til at spærre
for alt, så kommer du aldrig videre.

Du skal sætte ALLOW-filtrene først (laveste numre) og DENY-filterne
bagefter (højeste numre), når du vil bruge det på denne måde. Eller
sagt på en anden måde: Sæt de specifikke filtre først og de generelle
("alt det andet") sidst.

Hvis du sætter filtre med telnet, skal du huske at lave hul til
telnet-porten, før du spærrer for resten

Good luck!

--
Jørn Andersen,
Brønshøj

René Iversen (25-10-2002)
Kommentar
Fra : René Iversen


Dato : 25-10-02 16:35


"Jørn Andersen" <jorn@jorna.dk> skrev i en meddelelse
news:7vgiruo0rgigmvnlh9tac9d423bmv2bt8b@4ax.com...
> On Fri, 25 Oct 2002 07:39:43 +0200, "René Iversen" <spam@riversen.dk>
> wrote:
>
> Der kan være flere problemer, så fortæl, hvad du har gjort.

Jeg har sat allow filtrene først. Jeg har lavet variationer mht. at sætte på
wan0-0, eth0 eller all. Jeg har byttet om på destport og srcport alt efter
om det var indgående eller udgående

>
> Måske handler det om rækkefølgen af filtrene. Filtrene med de laveste
> numre læses først, så hvis du sætter det laveste filter til at spærre
> for alt, så kommer du aldrig videre.
>
> Du skal sætte ALLOW-filtrene først (laveste numre) og DENY-filterne
> bagefter (højeste numre), når du vil bruge det på denne måde. Eller
> sagt på en anden måde: Sæt de specifikke filtre først og de generelle
> ("alt det andet") sidst.
>
> Hvis du sætter filtre med telnet, skal du huske at lave hul til
> telnet-porten, før du spærrer for resten

Jeg håbede på et konkret eksempel der ville virke.



Jørn Andersen (25-10-2002)
Kommentar
Fra : Jørn Andersen


Dato : 25-10-02 18:45

On Fri, 25 Oct 2002 17:35:20 +0200, "René Iversen" <spam@riversen.dk>
wrote:

>Jeg har sat allow filtrene først. Jeg har lavet variationer mht. at sætte på
>wan0-0, eth0 eller all. Jeg har byttet om på destport og srcport alt efter
>om det var indgående eller udgående
>
<snip>

>Jeg håbede på et konkret eksempel der ville virke.

Og jeg håbede på et konkret eksempel på hvad du havde gjort

Men prøv evt. med:

set fi 0 off allow eth0 10.0.0.1 255.255.255.255 0.0.0.0 0.0.0.0
set fi 19 off deny eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

set fi 0 19 on

og hvis det så virker:
write
reboot

Eksemplet findes faktisk magen til på Jakob Paikins side:
Uofficiel FAQ om ADSL hos World Online
<URL: http://www.paikin.dk/adsl-faq.phtml#19>

Bemærk det er en FAQ til World Online, men forskellene til CyberCity
er minimale.

Andre links:
<URL:
http://www.cybercity.dk/erhverv/support/adsl_udstyr/cisco_677/filter_firewall/>

Uofficiel FAQ for nyhedsgruppen cybercity.xdsl (Jacob Bunk Nielsen):
<URL: http://net.bunk.cc/cc-adsl-faq/>

Good luck!

--
Jørn Andersen,
Brønshøj

René Iversen (25-10-2002)
Kommentar
Fra : René Iversen


Dato : 25-10-02 20:31


"Jørn Andersen" <jorn@jorna.dk> skrev i en meddelelse
news:iiuirukpr9gliep3absg2oumqlma791ksi@4ax.com...
> On Fri, 25 Oct 2002 17:35:20 +0200, "René Iversen" <spam@riversen.dk>
> wrote:
>
> Men prøv evt. med:
>
> set fi 0 off allow eth0 10.0.0.1 255.255.255.255 0.0.0.0 0.0.0.0
> set fi 19 off deny eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
>
> set fi 0 19 on
>
> og hvis det så virker:
> write
> reboot
>

OK, det så jo lovende ud med siden

har prøvet følgende:

set filter 0 off allow outgoing eth0 10.0.0.10 255.255.255.255 0.0.0.0
0.0.0.0
set filter 1 off deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

jeg blev nødt til at tilføje outgoing før den ville acceptere kommandoen, så
jeg går ud fra det er pga. firmware version.

But anyways...da jeg aktivere filter 0 røg min internetforbindelse...også
fra pc'en med 10.0.0.10 som ip (subnet 255.255.255.0)



René Iversen (25-10-2002)
Kommentar
Fra : René Iversen


Dato : 25-10-02 20:42


"René Iversen" <spam@riversen.dk> skrev i en meddelelse
news:apc66o$250r$1@news.cybercity.dk...
>
> "Jørn Andersen" <jorn@jorna.dk> skrev i en meddelelse
> news:iiuirukpr9gliep3absg2oumqlma791ksi@4ax.com...
> > On Fri, 25 Oct 2002 17:35:20 +0200, "René Iversen" <spam@riversen.dk>
> > wrote:
> >
> OK, det så jo lovende ud med siden
>
> har prøvet følgende:
>
> set filter 0 off allow outgoing eth0 10.0.0.10 255.255.255.255 0.0.0.0
> 0.0.0.0
> set filter 1 off deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
>
> jeg blev nødt til at tilføje outgoing før den ville acceptere kommandoen,

> jeg går ud fra det er pga. firmware version.
>
> But anyways...da jeg aktivere filter 0 røg min internetforbindelse...også
> fra pc'en med 10.0.0.10 som ip (subnet 255.255.255.0)


har også prøvet:
set filter 0 off allow outgoing eth0 10.0.0.10 255.255.255.255 0.0.0.0
0.0.0.0
set filter 1 off allow incoming wan0-0 0.0.0.0 0.0.0.0 10.0.0.10
255.255.255.255
set filter 2 off deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
set filter 3 off deny incoming eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

samme resultat

>
>



René Iversen (25-10-2002)
Kommentar
Fra : René Iversen


Dato : 25-10-02 21:05


"René Iversen" <spam@riversen.dk> skrev i en meddelelse
news:apc6qo$25qr$1@news.cybercity.dk...
> set filter 0 off allow outgoing eth0 10.0.0.10 255.255.255.255 0.0.0.0
> 0.0.0.0
> set filter 1 off allow incoming wan0-0 0.0.0.0 0.0.0.0 10.0.0.10
> 255.255.255.255
> set filter 2 off deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> set filter 3 off deny incoming eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
>

selvfølgelig wan0-0 i filter 3



Jørn Andersen (25-10-2002)
Kommentar
Fra : Jørn Andersen


Dato : 25-10-02 22:22

On Fri, 25 Oct 2002 21:30:47 +0200, "René Iversen" <spam@riversen.dk>
wrote:


Hej René,
Det er vist længe siden jeg har rodet med dette, så ... :)

>har prøvet følgende:
>
>set filter 0 off allow outgoing eth0 10.0.0.10 255.255.255.255 0.0.0.0
>0.0.0.0
>set filter 1 off deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
>
>jeg blev nødt til at tilføje outgoing før den ville acceptere kommandoen, så
>jeg går ud fra det er pga. firmware version.

Ja, den havde jeg vist glemt ...

>But anyways...da jeg aktivere filter 0 røg min internetforbindelse...også
>fra pc'en med 10.0.0.10 som ip (subnet 255.255.255.0)


Kiggede du på:
<URL: http://www.paikin.dk/adsl-faq.phtml#41>
- ?

Prøv følgende:
1) check at ingen filtre er sat

2) Start med at sætte:
SET FILTER 18 OFF ALLOW INCOMING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
SET FILTER 19 OFF ALLOW OUTGOING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
SET FILTER 18 19 ON

Check at alt stadig kører.

3) Sæt:
SET FILTER 0 OFF ALLOW INCOMING ETH0 10.0.0.10 255.255.255.255 0.0.0.0
0.0.0.0
SET FILTER 1 OFF ALLOW OUTGOING ETH0 10.0.0.10 255.255.255.255 0.0.0.0
0.0.0.0
SET FILTER 16 OFF DENY INCOMING ETH0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
SET FILTER 17 OFF DENY OUTGOING ETH0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
SET FILTER 0 1 16 17 ON

Hjalp det?
Ideen er først at tillade "alt andet" på alle porte (18 + 19)
Dernæst lukke på alt fra eth0 (16 + 17)
Og endelig åbne for 10.0.0.10 på eth0 (0 + 1)

Good luck!

--
Jørn Andersen,
Brønshøj

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste