/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
cisco 677 filter - syntax
Fra : Bedstefar


Dato : 18-08-03 11:08

Jeg har en adsl hos Tiscali som har virket flere år. Jeg har adgang til
routeren, som jeg forventede kun har 1 indgående adgang på port 80 - nattet
til en wwwserver
Dette bekræftes (??) af følgende linie i cfg-print:

IP NAT Entry = 192.168.1.208, 80, 0.0.0.0, 80, tcp;192.168.1.1, 23-23,
0.0.0.0,
23000-23000, tcp;192.168.1.2, *, *, *, *;

som jeg læser: til lokalserver port 80 tillades ALLE port 80 tcp-pakker
! --- og så noget jeg ikke kan oversætte

Kan nogen hjælpe mig til at ændre således at kun 1 IPadresse kan få lov at
komme på min server, men både på port 80 og gerne også 443.
Jeg antager at det er de første 0.0.0.0 der skal ændres til pågældende IP.?

Jeg har bdos-manual, men det er komplet nyt land og det er den eneste gang
jeg skal ændre.

hilsen finn



 
 
Anders Lund (18-08-2003)
Kommentar
Fra : Anders Lund


Dato : 18-08-03 13:00

Bedstefar wrote:
> IP NAT Entry = 192.168.1.208, 80, 0.0.0.0, 80, tcp;192.168.1.1,
> 23-23,
> 0.0.0.0,
> 23000-23000, tcp;192.168.1.2, *, *, *, *;
>
> som jeg læser: til lokalserver port 80 tillades ALLE port 80
> tcp-pakker ! --- og så noget jeg ikke kan oversætte

Uhh, skal se om jeg kan "knækk" den. Jeg starter fra en ende af:

192.168.1.208 = IP adresse der skal forwardes TIL
80 = Den port der skal forwardes TIL.
0.0.0.0 = Det interface på routeren der skal forwardes FRA.
80 = Den port der skal forwardes FRA.
TCP = Den protokol der er tale om.

; betyder ny NAT entry

Og den næste er på samme måde. Dog med forskellen at her har man valgt at
forwarde en port-range, som dog kun består af en port, nemlig port 23000.
Denne bliver forwardet til port 23 på din router. Dvs. at man kan få telnet
adgang til din router, på port 23000. Dette gør Cybercity også med deres
routere.

Den sidste NAT entry med 192.168.1.2, *, *, *, *; gør at alt andet, som ikke
passer ind i de andre regler, bliver sendt vidre til maskinen med IP
adressen 192.168.1.2. * betyder her "alt".

Du kan få en _lidt_ mere overskuelig oversigt (men også over dynamiske NAT
entries), ved at skrive "sh nat".

> Kan nogen hjælpe mig til at ændre således at kun 1 IPadresse kan få lov
at
> komme på min server, men både på port 80 og gerne også 443.
> Jeg antager at det er de første 0.0.0.0 der skal ændres til pågældende
IP.?

Så skal du i gang med et filter, som jeg desværre ikke helt kan hjælpe dig
med (gider ikke lige at sætte mig ind i det nu, men kig på "set filter").
0.0.0.0 hentyder til interfacene i routeren. Du kan skrive inderside IP
adressen på din router, skrive yderside IP adressen eller 0.0.0.0, som
betyder alle interfaces. Der er dog nogle bugs i CBOS softwaren, som gør det
uhensigstmæssigt at bruge 0.0.0.0, nemlig at hvis du genstarter din router,
efter du har slettet NAT entries med 0.0.0.0, så kommer disse igen. Derfor
laver jeg hellere 2 nat entries, som hver henviser til ydersiden og
inderside adressen.

Kig evt. på Cybercitys support sider om portforwarding:
http://www.cybercity.dk/privat/support/adsl/adsl_udstyr/cisco_677/port_forwarding/

Samt deres support sider om Filter:
http://www.cybercity.dk/privat/support/adsl/adsl_udstyr/cisco_677/filter_firewall/



bedstefar (18-08-2003)
Kommentar
Fra : bedstefar


Dato : 18-08-03 14:09


"Anders Lund" <spam2003@andersonline.dk> skrev i en meddelelse
news:bhqf4o$5d1$1@news.cybercity.dk...
>
> Uhh, skal se om jeg kan "knækk" den. Jeg starter fra en ende af:
>
> 192.168.1.208 = IP adresse der skal forwardes TIL
> 80 = Den port der skal forwardes TIL.
>>>> 0.0.0.0 = Det interface på routeren der skal forwardes FRA.
> 80 = Den port der skal forwardes FRA.
> TCP = Den protokol der er tale om.
>
> ; betyder ny NAT entry
> > 0.0.0.0 hentyder til interfacene i routeren

Tak for dit svar og henvisning til et par iøvrigt udmærkede sider.
At jeg har lidt problemer med forståelsen ligger simpelthen i terminologi.
Jeg er vant til at 0.0.0.0 refererer til alle adresser, i modsætning til
eth0 som er alt hvad der ses af interfacet (som iøvrigt kan være det samme).
Nu forstår jeg desværre således at man ikke som jeg selv havde forventet:

set nat entry add 192.168.1.208 80 95.19.9.208 80 tcp
set nat entry add 192.168.1.208 443 95.19.9.208 443 tcp
write
reboot
kan definere at kun maskinen 95.19.9.208 kan komme igennem ciscoen og kun
med port 80/443

hvisjeg vil opnå dette må jeg installere egen firewall ;(

har jeg ret eller hva'?

finn



Anders Lund (18-08-2003)
Kommentar
Fra : Anders Lund


Dato : 18-08-03 15:00

bedstefar wrote:
> Nu forstår jeg desværre således at man
> ikke som jeg selv havde forventet:
>
> set nat entry add 192.168.1.208 80 95.19.9.208 80 tcp
> set nat entry add 192.168.1.208 443 95.19.9.208 443 tcp
> write
> reboot
> kan definere at kun maskinen 95.19.9.208 kan komme igennem ciscoen og
> kun med port 80/443

Som du selv skriver, så skyldes det at du ikke helt har forstået opsætning
af nat entrys:

Det som før hed 0.0.0.0 (og som du nu kalder 95.19.9.208) henviser til enten
inderside adressen eller yderside (eller "0.0.0.0", som betyder begge
adresser) adressen på din router.

Du skal således benytte et filter for at kunne begænse adgangen til din
server. Uden at have testet det, vil jeg tro at du skal sætte følgende 3
filtre op i din router, for at opnå det ønsket reslutat:

set filter 0 on allow incomming all 95.19.9.208 255.255.255.255
192.168.1.208 255.255.255.255 protocol tcp srcport 1-65535 destport 80-80
= Tillader alt trafik fra 95.19.9.208 ind til din webserver på port 80.

set filter 1 on allow incomming all 95.19.9.208 255.255.255.255
192.168.1.208 255.255.255.255 protocol tcp srcport 1-65535 destport 443-443
= Tillader alt trafik fra 95.19.9.208 ind til din webserver på port 443.

set filter 2 on deny incoming all 0.0.0.0 0.0.0.0 192.168.1.208
255.255.255.255 protocol tcp srcport 1-65535 destport 1-65535
= Afviser alt trafik fra alle adresser (som ikke er blevet defineret i et
over de første filtre), til din webserver. For at gøre denne mere specifik,
kan man oprette 2 filtre, som specifikt henvender sig på port 80 og 443.

Husk at tjekke om filter 0, 1 og 2 bliver brugt i forvejen. Dette gøres med
funktionen "sh filter". Her får du en liste over de 20 filtre du har til
rådighed. Står de som "on" er de i brug.

Jeg har ikke selv rodet med filtre før og har heller ikke testet
overstående....



bedstefar (18-08-2003)
Kommentar
Fra : bedstefar


Dato : 18-08-03 15:28


"Anders Lund" <spam2003@andersonline.dk> skrev i en meddelelse
news:bhqm4j$c6k$1@news.cybercity.dk...
> bedstefar wrote:
> > Nu forstår jeg desværre således at man
> > ikke som jeg selv havde forventet:
> >
> > set nat entry add 192.168.1.208 80 95.19.9.208 80 tcp
> > set nat entry add 192.168.1.208 443 95.19.9.208 443 tcp
> > write
> > reboot
> > kan definere at kun maskinen 95.19.9.208 kan komme igennem ciscoen og
> > kun med port 80/443
>
> Som du selv skriver, så skyldes det at du ikke helt har forstået opsætning
> af nat entrys:
>
> Det som før hed 0.0.0.0 (og som du nu kalder 95.19.9.208) henviser til
enten
> inderside adressen eller yderside (eller "0.0.0.0", som betyder begge
> adresser) adressen på din router.
>
> Du skal således benytte et filter for at kunne begænse adgangen til din
> server. Uden at have testet det, vil jeg tro at du skal sætte følgende 3
> filtre op i din router, for at opnå det ønsket reslutat:
>
> set filter 0 on allow incomming all 95.19.9.208 255.255.255.255
> 192.168.1.208 255.255.255.255 protocol tcp srcport 1-65535 destport 80-80
> = Tillader alt trafik fra 95.19.9.208 ind til din webserver på port 80.
>
> set filter 1 on allow incomming all 95.19.9.208 255.255.255.255
> 192.168.1.208 255.255.255.255 protocol tcp srcport 1-65535 destport
443-443
> = Tillader alt trafik fra 95.19.9.208 ind til din webserver på port 443.
>
> set filter 2 on deny incoming all 0.0.0.0 0.0.0.0 192.168.1.208
> 255.255.255.255 protocol tcp srcport 1-65535 destport 1-65535
> = Afviser alt trafik fra alle adresser (som ikke er blevet defineret i et
> over de første filtre), til din webserver. For at gøre denne mere
specifik,
> kan man oprette 2 filtre, som specifikt henvender sig på port 80 og 443.
>
> Husk at tjekke om filter 0, 1 og 2 bliver brugt i forvejen. Dette gøres
med
> funktionen "sh filter". Her får du en liste over de 20 filtre du har til
> rådighed. Står de som "on" er de i brug.
>
> Jeg har ikke selv rodet med filtre før og har heller ikke testet
> overstående....
>
Ok, her eksemplets magt klart demonstreret. Jeg går fluks igang når jeg igen
er på destinationen.

tusind tak for hjælpen

finn



Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste