/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Åbne porte i en Cisco 677 - hvordan?
Fra : Stig Holmberg


Dato : 29-05-05 23:02

Hej

Hvordan åbner jeg alle porte på en Cisco 677?

Vi er et netværk med 10 PCere som deler en Tiscali ADSL forbindelse.

Routerens/gatewayens adresse er 192.168.1.1 og dens firmware version er 2.41

Min egen PC er 192.168.1.5 og så vidt jeg ved ændrer den sig ikke. Routeren
fungerer (antager jeg) som en DHCP server, men jeg ved ikke om den kan finde
på at ændre adresseringen.

Jeg vil gerne åbne portene grundet at MSN Messenger ikke virker ordentligt,
at jeg ikke kan køre en IIS web-server, samme med diverse spil etc.

Kan jeg nøjes med at åbne portene i forhold til min egen PC (og dermed jo
nedsætte sikkerheden) eller gælder det for alle PCer på netværket?

Mvh. Stig



 
 
Henrik Stidsen (30-05-2005)
Kommentar
Fra : Henrik Stidsen


Dato : 30-05-05 00:49

On Mon, 30 May 2005 00:02:17 +0200, Stig Holmberg wrote:

> Kan jeg nøjes med at åbne portene i forhold til min egen PC (og dermed jo
> nedsætte sikkerheden) eller gælder det for alle PCer på netværket?

Der er en ting du skal forstå - og som svarer på det spørgsmål. Du
åbner ikke en port, du viderestiller den til en given IP på dit
netværk. 677'eren bruger NAT og det er det du skal have fat i, se dens
manual for syntaks.

Iøvrigt er det en god ide IKKE at bruge DHCP hvis du vil være sikker på
at statisk NAT bliver ved at virke. Hvis du har stationære maskiner på
dit netværk er der næppe brug for en DHCP.

--
mvh Henrik Stidsen - http://henrikstidsen.dk/

Stig Holmberg (30-05-2005)
Kommentar
Fra : Stig Holmberg


Dato : 30-05-05 02:55


"Henrik Stidsen" <nntpspam@hs235.dk> skrev i en meddelelse
news:pan.2005.05.29.23.48.44.240000@hs235.dk...
> On Mon, 30 May 2005 00:02:17 +0200, Stig Holmberg wrote:
>
>> Kan jeg nøjes med at åbne portene i forhold til min egen PC (og dermed jo
>> nedsætte sikkerheden) eller gælder det for alle PCer på netværket?
>
> Der er en ting du skal forstå - og som svarer på det spørgsmål. Du
> åbner ikke en port, du viderestiller den til en given IP på dit
> netværk. 677'eren bruger NAT og det er det du skal have fat i, se dens
> manual for syntaks.
>
> Iøvrigt er det en god ide IKKE at bruge DHCP hvis du vil være sikker på
> at statisk NAT bliver ved at virke. Hvis du har stationære maskiner på
> dit netværk er der næppe brug for en DHCP.
>
> --
> mvh Henrik Stidsen - http://henrikstidsen.dk/


Nu har jeg fundet ud af at DHCP er aktivt. Hvh. manualen gav jeg routeren en
forespørgsen og den kom med dette svar:

cbos>show dhcp server pool all

DHCP Server is currently enabled

First pool will not learn IP address from IPCP

Pool 0 currently enabled Size 250

IP Address: 192.168.1.3 Netmask: 255.255.255.0

DNS Server: 212.54.64.170 Secondary DNS: 212.54.64.171

WINS Server: 0.0.0.0 Secondary WINS: 0.0.0.0

Gateway : 192.168.1.1 IRC Server: 0.0.0.0

NNTP Server: 0.0.0.0 Web Server: 0.0.0.0

SMTP Server: 0.0.0.0 POP3 Server: 0.0.0.0

Lease: 1080 seconds

Pool 1 currently disabled - No parameters set in pool

Pool 2 currently disabled - No parameters set in pool

Pool 3 currently disabled - No parameters set in pool

Pool 4 currently disabled - No parameters set in pool

Pool 5 currently disabled - No parameters set in pool

Pool 6 currently disabled - No parameters set in pool

Pool 7 currently disabled - No parameters set in pool

Pool 8 currently disabled - No parameters set in pool

Pool 9 currently disabled - No parameters set in pool

Pool 10 currently disabled - No parameters set in pool

Pool 11 currently disabled - No parameters set in pool

Pool 12 currently disabled - No parameters set in pool

Pool 13 currently disabled - No parameters set in pool

Pool 14 currently disabled - No parameters set in pool

Pool 15 currently disabled - No parameters set in pool

Pool 16 currently disabled - No parameters set in pool

Pool 17 currently disabled - No parameters set in pool

Pool 18 currently disabled - No parameters set in pool

Pool 19 currently disabled - No parameters set in pool


Men det er vel godt nok -eller tænker du på at adresserne kan ændre sig? Jeg
ved ikke hvordan man styrer statisk NAT.

Manualen fortæller ikke hvordan jeg viderestiller alle portene. (er det ikke
det samme som at åbne portene?)

Jeg ved meget lidt om det her, vil helst bare have en færdig
kogebogsopskrift.

Mvh. Stig



Henrik Stidsen (30-05-2005)
Kommentar
Fra : Henrik Stidsen


Dato : 30-05-05 10:49

On Mon, 30 May 2005 03:54:43 +0200, Stig Holmberg wrote:

> Men det er vel godt nok -eller tænker du på at adresserne kan ændre sig? Jeg
> ved ikke hvordan man styrer statisk NAT.

Det viser bare at din DHCP er aktiv - så hvis din leasetid udløber mens
du har PCen slukket vil du risikere at en anden maskine på netværket
får din IP. Men som sagt, stationære maskiner behøver ikke DHCP på et
lille hjemmenetværk.

> Manualen fortæller ikke hvordan jeg viderestiller alle portene. (er det
> ikke det samme som at åbne portene?)

> Jeg ved meget lidt om det her, vil helst bare have en færdig
> kogebogsopskrift.

prøv at skrive "set nat ?" og tryk enter - så giver 677'eren dig en
liste over muligheder og du skal så bare vælge den rigtige. Det er noget
der ligner 2½ år siden jeg sidst rodede med en 677'er så jeg kan ikke
give dig en færdig kommando. Jeg mener der var en Tiscali kunde der
lavede en online vejledning til 677'eren men hvor den er og om den stadig
findes ved jeg ikke. Prøv i Tiscali's egne grupper.

--
mvh Henrik Stidsen - http://henrikstidsen.dk/

Peter Jensen (30-05-2005)
Kommentar
Fra : Peter Jensen


Dato : 30-05-05 13:05


"Henrik Stidsen" <nntpspam@hs235.dk> skrev i en meddelelse
news:pan.2005.05.30.09.48.55.783000@hs235.dk...
> prøv at skrive "set nat ?" og tryk enter - så giver 677'eren dig en
> liste over muligheder og du skal så bare vælge den rigtige. Det er noget
> der ligner 2½ år siden jeg sidst rodede med en 677'er så jeg kan ikke
> give dig en færdig kommando. Jeg mener der var en Tiscali kunde der
> lavede en online vejledning til 677'eren men hvor den er og om den stadig
> findes ved jeg ikke. Prøv i Tiscali's egne grupper.

Syntaxen er:

set nat entry add <lokal-IP> <port der skal forwardes til> <Routerens
yderside IP> <port trafikken kommer ind på> <trafiktype>

jvf. cybercitys guide
http://www.cybercity.dk/privat/support/adsl/adsl_udstyr/cisco_677/port_forwarding/

--
Peter J



Stig Holmberg (31-05-2005)
Kommentar
Fra : Stig Holmberg


Dato : 31-05-05 00:52


"Peter Jensen" <spateldask@lovelyspam.hotmail.com> skrev i en meddelelse
news:429b0179$0$211$edfadb0f@dread12.news.tele.dk...
>
> "Henrik Stidsen" <nntpspam@hs235.dk> skrev i en meddelelse
> news:pan.2005.05.30.09.48.55.783000@hs235.dk...
>> prøv at skrive "set nat ?" og tryk enter - så giver 677'eren dig en
>> liste over muligheder og du skal så bare vælge den rigtige. Det er noget
>> der ligner 2½ år siden jeg sidst rodede med en 677'er så jeg kan ikke
>> give dig en færdig kommando. Jeg mener der var en Tiscali kunde der
>> lavede en online vejledning til 677'eren men hvor den er og om den stadig
>> findes ved jeg ikke. Prøv i Tiscali's egne grupper.
>
> Syntaxen er:
>
> set nat entry add <lokal-IP> <port der skal forwardes til> <Routerens
> yderside IP> <port trafikken kommer ind på> <trafiktype>
>
> jvf. cybercitys guide
> http://www.cybercity.dk/privat/support/adsl/adsl_udstyr/cisco_677/port_forwarding/
>
> --
> Peter J
<lokal-IP> må så være min PC der pt. har IP 192.168.1.5, men når jeg
forwarder alle porte til min PC vil de andre PCer på netværket så blive
berørt?

Mvh. Stig




Peter Jensen (31-05-2005)
Kommentar
Fra : Peter Jensen


Dato : 31-05-05 08:45


"Stig Holmberg" <noone@nowhwere.com> skrev i en meddelelse
news:7GNme.46615$Fe7.141277@news000.worldonline.dk...
> <lokal-IP> må så være min PC der pt. har IP 192.168.1.5,

Det er korrekt. og igen, sørg for at den har en statisk IP.

> men når jeg forwarder alle porte til min PC vil de andre PCer på netværket
> så blive berørt?

1. Du skal for guds (og nok mest af alt din egen) skyld ikke forwarde *alle*
porte ind til din PC. Tag dem du har brug for.
Af sikkerhedsmæssige årsager er visse porte ikke specielt rare at have åbne
ind mod din PC ude fra den store verden .

2. De services der skal bruge disse porte vil kunne tilgås udefra indtil
den ene maskine, ikke de resterende maskiner.
Eks.: der kører en webserver på 3 PC'er på netværket.
Alle bruger port 80.
Du forwarder port 80 til PC1. Denne vil kunne tilgås udefra, mens
de 2 andre ikke kan.
Der 3 webservere skal altså anvende 3 forsk. porte før de alle 3 kan tilgås
udefra.
På den måde "berøres" de resterende PC'er - var det det du mente ?

--
Peter J



Stig Holmberg (31-05-2005)
Kommentar
Fra : Stig Holmberg


Dato : 31-05-05 17:34


"Peter Jensen" <spateldask@lovelyspam.hotmail.com> skrev i en meddelelse
news:429c162a$0$237$edfadb0f@dread12.news.tele.dk...
>
> "Stig Holmberg" <noone@nowhwere.com> skrev i en meddelelse
> news:7GNme.46615$Fe7.141277@news000.worldonline.dk...
>> <lokal-IP> må så være min PC der pt. har IP 192.168.1.5,
>
> Det er korrekt. og igen, sørg for at den har en statisk IP.
>
>> men når jeg forwarder alle porte til min PC vil de andre PCer på
>> netværket så blive berørt?
>
> 1. Du skal for guds (og nok mest af alt din egen) skyld ikke forwarde
> *alle*
> porte ind til din PC. Tag dem du har brug for.
> Af sikkerhedsmæssige årsager er visse porte ikke specielt rare at have
> åbne
> ind mod din PC ude fra den store verden .

Tænkte bare det var nemmest at forwarde alle porte, jeg har før kørt solo
ADSL med modem uden router og er vant til at bruge software-firewall.

>
> 2. De services der skal bruge disse porte vil kunne tilgås udefra indtil
> den ene maskine, ikke de resterende maskiner.
> Eks.: der kører en webserver på 3 PC'er på netværket.
> Alle bruger port 80.
> Du forwarder port 80 til PC1. Denne vil kunne tilgås udefra, mens
> de 2 andre ikke kan.
> Der 3 webservere skal altså anvende 3 forsk. porte før de alle 3 kan
> tilgås
> udefra.
> På den måde "berøres" de resterende PC'er - var det det du mente ?

Ja, det var det jeg mente (frygtede!) at de porte der bliver forwardede til
min PC bliver utilgængelige for de andre, nu ved jeg ikke hvad de kører, men
regner ikke med at de har behov for andet end at surfe så jeg tror ikke jeg
vil genere dem ved det, jeg skal bruge forwardingen til test-webserver, MSN
Messenger og en lille smule peer-to-peer.

Kan man iøvrigt forwarde en given port til alle maskiner på et netværk? -
eller ligger det i sagens natur at den kun kan pege et sted hen.

Sjovt nok går et program som Skype lige igennem uden problemer, gad vide
hvorfor så f.eks. MSN Messenger ikke kan.

Mvh. Stig



Peter Jensen (31-05-2005)
Kommentar
Fra : Peter Jensen


Dato : 31-05-05 21:16

Stig Holmberg skrev:
> Tænkte bare det var nemmest at forwarde alle porte, jeg har før kørt solo
> ADSL med modem uden router og er vant til at bruge software-firewall.

Firewall hjælper da på den problematik - forudsat at den er
sat ordentlig op. Men jeg ville nu stadig sørge for kun at
forwarde det der var nødvendigt. du vil muligvis gerne køre
fil/print deling med det lokale netværk - skal dem udefra
også have lov at lege med ? Fint nok at man kan sætte security
op for at gøre det mere besværligt, men hvorfor ikke bare sørge
for at porte man ikke skal bruge udefra ikke peger noget sted
hen - så er der da ikke så meget at komme efter.

> Ja, det var det jeg mente (frygtede!) at de porte der bliver forwardede til
> min PC bliver utilgængelige for de andre, nu ved jeg ikke hvad de kører, men
> regner ikke med at de har behov for andet end at surfe så jeg tror ikke jeg
> vil genere dem ved det, jeg skal bruge forwardingen til test-webserver, MSN
> Messenger og en lille smule peer-to-peer.

Surf osv. er ikke berørt på nogen måde - det er kun trafik der initieres
udefra som routeren via port forwarding skal have at vide hvor den skal
sende hen. Altså: en anden PC kan godt forespørge ud i verden på port
80 og få svar, der laver routeren en dynamisk mapning. Der kan bare
ikke forespørges udefra mod den PC's port 80 da den peger på din PC.

> Kan man iøvrigt forwarde en given port til alle maskiner på et netværk? -
> eller ligger det i sagens natur at den kun kan pege et sted hen.

Det ligger i sagens natur at en statisk forward af en port kun peger
på en maskine. Forestil dig at der kører 3 webservere på port 80.
Du forwarder port 80 til alle 3. Routerens WAN IP er 80.81.82.83.
Udefra kalder en bruger den eksterne adresse http://80.81.82.83 -
hvordan skal routeren vide hvilken webserver den skal sende requesten til ?
(Ja ja, man løser så den slags via DNS, host headers osv. men det er
ikke relevant for eksemplet her)

--
Peter J

Stig Holmberg (01-06-2005)
Kommentar
Fra : Stig Holmberg


Dato : 01-06-05 01:19


"Peter Jensen" <peter@lovelyspam.spateldask.dk> skrev i en meddelelse
news:429cc5e4$0$191$edfadb0f@dread11.news.tele.dk...
> Stig Holmberg skrev:
>> Tænkte bare det var nemmest at forwarde alle porte, jeg har før kørt solo
>> ADSL med modem uden router og er vant til at bruge software-firewall.
>
> Firewall hjælper da på den problematik - forudsat at den er
> sat ordentlig op. Men jeg ville nu stadig sørge for kun at
> forwarde det der var nødvendigt. du vil muligvis gerne køre
> fil/print deling med det lokale netværk - skal dem udefra
> også have lov at lege med ? Fint nok at man kan sætte security
> op for at gøre det mere besværligt, men hvorfor ikke bare sørge
> for at porte man ikke skal bruge udefra ikke peger noget sted
> hen - så er der da ikke så meget at komme efter.

Det var mest for at gøre det nemt såvidt jeg har kunnet opsnuse bruger
f.eks. MSN Messenger ca. 8-10 forskellige porte som så skal forwardes.

>
>> Ja, det var det jeg mente (frygtede!) at de porte der bliver forwardede
>> til min PC bliver utilgængelige for de andre, nu ved jeg ikke hvad de
>> kører, men regner ikke med at de har behov for andet end at surfe så jeg
>> tror ikke jeg vil genere dem ved det, jeg skal bruge forwardingen til
>> test-webserver, MSN Messenger og en lille smule peer-to-peer.
>
> Surf osv. er ikke berørt på nogen måde - det er kun trafik der initieres
> udefra som routeren via port forwarding skal have at vide hvor den skal
> sende hen. Altså: en anden PC kan godt forespørge ud i verden på port
> 80 og få svar, der laver routeren en dynamisk mapning. Der kan bare
> ikke forespørges udefra mod den PC's port 80 da den peger på din PC.

Ok, fint jeg regnede heller ikke med at det ville være et problem at surfe.

>
>> Kan man iøvrigt forwarde en given port til alle maskiner på et netværk? -
>> eller ligger det i sagens natur at den kun kan pege et sted hen.
>
> Det ligger i sagens natur at en statisk forward af en port kun peger
> på en maskine. Forestil dig at der kører 3 webservere på port 80.
> Du forwarder port 80 til alle 3. Routerens WAN IP er 80.81.82.83.
> Udefra kalder en bruger den eksterne adresse http://80.81.82.83 - hvordan
> skal routeren vide hvilken webserver den skal sende requesten til ?
> (Ja ja, man løser så den slags via DNS, host headers osv. men det er
> ikke relevant for eksemplet her)

Nu har jeg fanget den!, ja det er jo ret logisk, jeg må forsøge mig lidt
frem med 1 port ad gangen, tak for hjælpen.

Mvh. Stig



Hans M. Pedersen (15-08-2005)
Kommentar
Fra : Hans M. Pedersen


Dato : 15-08-05 23:01


"Peter Jensen" <peter@lovelyspam.spateldask.dk> skrev i en meddelelse
news:429cc5e4$0$191$edfadb0f@dread11.news.tele.dk...
> Stig Holmberg skrev:
>> Tænkte bare det var nemmest at forwarde alle porte, jeg har før kørt solo
>> ADSL med modem uden router og er vant til at bruge software-firewall.
>
> Firewall hjælper da på den problematik - forudsat at den er
> sat ordentlig op. Men jeg ville nu stadig sørge for kun at
> forwarde det der var nødvendigt. du vil muligvis gerne køre
> fil/print deling med det lokale netværk - skal dem udefra
> også have lov at lege med ? Fint nok at man kan sætte security
> op for at gøre det mere besværligt, men hvorfor ikke bare sørge
> for at porte man ikke skal bruge udefra ikke peger noget sted
> hen - så er der da ikke så meget at komme efter.

Fordi man hele tiden løber i sjove ting der kræver den ene og
anden port åben for forskellig type trafik.
Jeg forwardede alt for et år siden og har kørt problemfrit siden.
Det svarer jo bare til man bruger en alm. modemforbindelse
og det var der vel ikke mange der sov dårligt over tidligere.
Jeg har dog en firewall installeret og får da sjældne gange nogle
logs over forsøg på forskelligt.


Asbjorn Hojmark (16-08-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 16-08-05 06:45

On Tue, 16 Aug 2005 00:00:38 +0200, "Hans M. Pedersen"
<hmp25@hotmail.com> wrote:

> Jeg forwardede alt for et år siden og har kørt problemfrit siden.
> Det svarer jo bare til man bruger en alm. modemforbindelse
> og det var der vel ikke mange der sov dårligt over tidligere.

Tidligere havde man heller ikke orme, der bredte sig til hundreder af
tusinder af maskiner på få timer eller ligefrem minutter...

> Jeg har dog en firewall installeret og får da sjældne gange nogle
> logs over forsøg på forskelligt.

I stedet for at køre med en personlig firewall kan man sikre, at ens
maskiner kun lytter på nødvendige porte. Så kan man droppe firewallen,
der bare er en ekstra fejlkilde.

-A

Stig Holmberg (31-05-2005)
Kommentar
Fra : Stig Holmberg


Dato : 31-05-05 00:46


"Henrik Stidsen" <nntpspam@hs235.dk> skrev i en meddelelse
news:pan.2005.05.30.09.48.55.783000@hs235.dk...
> On Mon, 30 May 2005 03:54:43 +0200, Stig Holmberg wrote:
>
>> Men det er vel godt nok -eller tænker du på at adresserne kan ændre sig?
>> Jeg
>> ved ikke hvordan man styrer statisk NAT.
>
> Det viser bare at din DHCP er aktiv - så hvis din leasetid udløber mens
> du har PCen slukket vil du risikere at en anden maskine på netværket
> får din IP. Men som sagt, stationære maskiner behøver ikke DHCP på et
> lille hjemmenetværk.

Ok, så skal man taste manuelt ind for hver PC og slå DHCP fra, det er nok
den bedste løsning, bare lidt besværlig da jeg så skal rundt til 10 beboere
og taste ind.

>
>> Manualen fortæller ikke hvordan jeg viderestiller alle portene. (er det
>> ikke det samme som at åbne portene?)
>
>> Jeg ved meget lidt om det her, vil helst bare have en færdig
>> kogebogsopskrift.
>
> prøv at skrive "set nat ?" og tryk enter - så giver 677'eren dig en
> liste over muligheder og du skal så bare vælge den rigtige. Det er noget
> der ligner 2½ år siden jeg sidst rodede med en 677'er så jeg kan ikke
> give dig en færdig kommando. Jeg mener der var en Tiscali kunde der
> lavede en online vejledning til 677'eren men hvor den er og om den stadig
> findes ved jeg ikke. Prøv i Tiscali's egne grupper.
>
> --
> mvh Henrik Stidsen - http://henrikstidsen.dk/

Hele syntaxen er volapyk for mig, ved ikke hvad jeg skulle skrive. Jeg har
prøvet Tiscalis supportlinie men det er ikke til at komme igennem, jeg vil
nok bestille en tekniker til at ordne det, jeg forstår ikke at der ikke
ligger en stribe standardscripts lige til at bruge til forskellige formål,
men 677 er jo også forlængst udgået, men tak for dine råd.

Mvh. Stig




Martin Schultz (31-05-2005)
Kommentar
Fra : Martin Schultz


Dato : 31-05-05 14:01

Stig Holmberg <noone@nowhwere.com> skrev 2005-05-30:
> Manualen fortæller ikke hvordan jeg viderestiller alle portene. (er det ikke
> det samme som at åbne portene?)

http://www.adsltips.dk/cisco.php

set telnet port 23
set nat entry add 10.0.0.1 23 <WAN-IP> 23023 tcp
set nat entry add <LAN-IP>
write

--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste