ChrisCo Skrevet 24. august 2017 Del Skrevet 24. august 2017 Jeg har blokkert all tilgang utenfra. Kjører VPN server som jeg kobler til og telnet'er/ssh'er derfra, hvis det er noe jeg gjøre utenfra. Har også blokkert NTP forespørsler med unntak av lokale nettverk og selve NTP serveren den synker mot på nett... Lenke til kommentar
toreae Skrevet 24. august 2017 Forfatter Del Skrevet 24. august 2017 Jeg har blokkert all tilgang utenfra. Hvordan? Jeg har noen linjer med nat med tilhørende permit: ip nat inside source static tcp 192.168.100.100 10000 interface GigabitEthernet0/0 10000 ip access-list extended FW-IN permit tcp any any eq 10000 Men hvordan stenger man resten Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 (endret) ip nat inside source static tcp 192.168.100.100 10000 interface GigabitEthernet0/0 10000 Dette er vanlig portforwarding av TCP trafikk på port 10000 til 192.168.100.100 ip access-list extended FW-IN permit tcp any any eq 10000 Dette er en extended ACL som tillater TCP trafikk på port 10000. Er den aktivert på et interface? Denne er egentlig helt unødvendig og gjør ingen nytte for seg... Alt du har her, er vanlig portforwarding.. Kjører som sagt VPN server på NAS'en min der jeg har forwardet portene for IPSec/L2TP til NAS'en, tillatt SSH fra private IP ranger og resten blir automatisk blokkert. line vty 0 796 access-class vpn_only in ip access-list standard vpn_only permit 10.0.0.0 0.0.0.255 permit 172.16.0.0 0.15.255.255 permit 192.168.0.0 0.0.255.255 remark VPN access only Endret 25. august 2017 av ChrisCo Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 Er det en (enkel) metode for å tillate trafikk på noen porter. Og samtidig nekte all trafikk som ikke har opphav fra innsiden? Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 Mener du vanlig ACL?? Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 Jeg vet ikke om andre metoder, så ja. Er det andre metoder som er enklere så gjerne det. Men kan gjerne prøve ACL først. Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 Da er det bare å opprette en ACL med det du vil da.... Eller er jeg ikke med på hva du mener/er ute etter? Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 Pr nå er alt helt åpent. 2851 slipper alt inn, og ut. Hvordan stenge for all trafikk inn som enten: Ikke har oppstått fra innsiden. Ikke er på port 10000. Trafikk på port 10000 skal slippe inn. Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 Trafikk på kun port 1000 vil ikke fungere. Da slipper du ikke inn noe annet. Med ACL må man være supernazi og nøye ellers risikerer du at ting ikke funker i det hele tatt.. Så vær supernøye med å beskrive detaljene. Men dette er høres jo ut som vanlig portforwarding, og den har du jo inne.. Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 10.000. Men har fortsatt ikke stengt for all trafikk som ikke har startet fra innsiden. Har debugget SSH, og halve jordkloden prøver å logge inn, eller minst en. Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 Nemlig.. Derfor har jeg blokkert alt. Men du skal vel ha en vei inn utenfra selv? Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 Ja. port 10.000. Gjerne flere, men det ordner jeg selv. Bare jeg får forklaring på den første. Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 Hva har du på port 10000? ip access-list extended insert_name_here permit tcp any host <lokal IP> eq 10000 deny any any Tror det skal holde, hvis ikke jeg er sløv nå Legges på line vty 0 <høyeste nummer> (bruk ? etter 0) access-class insert_name_here in Lenke til kommentar
toreae Skrevet 25. august 2017 Forfatter Del Skrevet 25. august 2017 Port 10000 var bare et tall.. ip access-list extended Brannmur permit tcp any host <lokal IP> eq 10000 permit tcp any host <lokal IP nr2> eq 10001 deny any any Legges på line vty 0 <høyeste nummer> (bruk ? etter 0) Denne skjønner jeg ikke noe av. Er det vis jeg senere skal legge til en linje??? access-class Brannmur Mangler det ikke noe her? Forøvrig er DDNS veldig buggete. Driver på å forandrer konfigurasjonen, mens ciscoen husker den gamle. Selv når jeg sletter all konfig, ser jeg av loggen at den fortsatt holder på. Veldig irriterende, særlig siden no.ip.org ikke er lett å skjønne. Men nå er det sengetid for meg. Lenke til kommentar
ChrisCo Skrevet 25. august 2017 Del Skrevet 25. august 2017 (endret) Legges på line vty 0 <høyeste nummer> (bruk ? etter 0) Denne skjønner jeg ikke noe av. Er det vis jeg senere skal legge til en linje??? Nei. Det er for å aktivere ACL'en. Den gjør ingenting før du forteller routeren hva det er og hvor den skal brukes. access-class Brannmur Mangler det ikke noe her? Jo, in statement etter Brannmur. conf t line vty 0 <høyeste nummer> (bruk som sagt ? etter null for å se hvor mange vty lines du har og bruk det tallet) access-class Brannmur in end Endret 25. august 2017 av ChrisCo Lenke til kommentar
toreae Skrevet 26. august 2017 Forfatter Del Skrevet 26. august 2017 ip access-list extended Brannmur permit tcp any host <lokal IP> eq 10000 permit tcp any host <lokal IP nr2> eq 10001 deny ip any any Går ut fra at ip skal være med. **************************************** Router#conf t Router(config)#line vty 0 ? <1-988> Last Line number <cr> Router(config)#line vty 0 1 Router(config-line)#access-class Brannmur in Router(config-line)#exit Router(config)#exit Ble dette rett? I sh run har jeg: line vty 5 15 Altså 15 som høyeste nummer. Skulle det vært? Router(config)#line vty 0 16 Lenke til kommentar
ChrisCo Skrevet 26. august 2017 Del Skrevet 26. august 2017 ip access-list extended Brannmur permit tcp any host <lokal IP> eq 10000 permit tcp any host <lokal IP nr2> eq 10001 deny ip any any Går ut fra at ip skal være med. Deny ip any any skal ikke være nødvendig, da allerede ligger en skjult statement i bånn. Så ved å legge inn det, så har du egentlig en dobbel deny. Men det gjør ikke noe heller, så om du vil ha det der, så er det helt ok.. Router#conf t Router(config)#line vty 0 ? <1-988> Last Line number <cr> Router(config)#line vty 0 1 Router(config-line)#access-class Brannmur in Router(config-line)#exit Router(config)#exit Ble dette rett? I sh run har jeg: line vty 5 15 Altså 15 som høyeste nummer. Skulle det vært? Router(config)#line vty 0 16 Høyeste er jo 988. Da blir det line vty 0 988 Access-class er korrekt. Lenke til kommentar
toreae Skrevet 26. august 2017 Forfatter Del Skrevet 26. august 2017 Ok. Har sett litt rundt, disse to sidene viser kanskje mer det jeg spør om. Men ingen av dem viser komplett konfigurasjon, og jeg har prøvd å sette sammen noe selv. Jeg går ut fra at det er feil og mangler i det jeg har satt sammen. https://supportforums.cisco.com/t5/wan-routing-and-switching/border-router-security-lockdown/td-p/1408700 http://www.dslreports.com/faq/7766 interface fastethernet 1/0 Wan interface antar jeg? ip access-group 101 out ip access-group 102 in ip access-list in 102 Er dette rett? deny ip 192.168.0.0 0.0.255.255 any log-input deny ip 172.16.0.0 0.15.255.255 any log-input deny ip 10.0.0.0 0.255.255.255 any log-input deny ip 127.0.0.0 0.255.255.255 any log-input deny ip 255.0.0.0 0.255.255.255 any log-input deny ip 224.0.0.0 31.255.255.255 any log-input deny ip host 0.0.0.0 any log-input deny ip any log-input deny ip host any log-input deny ip xxx.xxx.xxx.xxx 0.0.0.255 any log-input For å nekte ip/blokker som bare bedriver fusk og fanteri? evaluate alliptraffic permit tcp any host eq 10000 Min åpne port inn? permit tcp any host eq 113 permit tcp any host eq smtp permit tcp any host eq www permit tcp any host eq 443 permit tcp any host eq 1723 log-input permit tcp any host eq 1731 permit gre any host permit tcp host host eq domain log-input permit udp any host eq domain permit udp any eq 53 host permit udp any eq ntp host eq ntp permit icmp any net-unreachable permit icmp any host-unreachable permit icmp any port-unreachable permit icmp any packet-too-big permit icmp any administratively-prohibited permit icmp any source-quench permit icmp any ttl-exceeded permit icmp any echo-reply deny icmp any any deny ip any any log-input ip access-list out 101 Er dette rett? deny ip 192.168.0.0 0.0.255.255 any log-input deny ip 172.16.0.0 0.15.255.255 any log-input deny ip 10.0.0.0 0.255.255.255 any log-input deny ip any 192.168.0.0 0.0.255.255 log-input deny ip any 172.16.0.0 0.15.255.255 log-input deny ip any 10.0.0.0 0.255.255.255 log-input deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss permit ip any reflect alliptraffic timeout 120, Alternativt permit ip any deny ip any any log Spør her egentlig etter alt, men først og fremst er dette helt skivebom? Lenke til kommentar
ChrisCo Skrevet 26. august 2017 Del Skrevet 26. august 2017 Dette er helt feil for hva du skal ha, etter hva jeg har forstått. Du vil stoppe folk i å kunne logge seg inn på routeren din? Da implementerer du det vi har drevet med tidligere her... Lenke til kommentar
toreae Skrevet 26. august 2017 Forfatter Del Skrevet 26. august 2017 Jeg vil stoppe alt farlig snusk fra å komme inn på ruter og nettverk. Og samtidig tillate trafikk inn som jeg har bestemt. Det er vel stort sett det samme som enhver ruter som man kjøpe på elkjøp gjør, så det tenkte jeg var minimum. At jeg gjør det med cisco ruter er bare for at jeg kan gjøre så mye mer. Men denne gang har jeg lyst til å klare meg uten Cisco Configuration Professional, da dette programmet gjør så mye annet. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå