Enda en ny ruter i heimen, nå en Cisco 2851

[ChrisCo]

Aha skjønner... Men har du ikke en eneste enhet som stå på 24/7? Server, NAS, PC........??

[toreae]

Bare ftp-server, en TP-Link. Rett fram skal vel Cisco ha noe rsync-server. Har sett på ftp-server, men har ikke sett noe lett, rett fram løsning.

[ChrisCo]

Finner ikke noe rsync på den routeren, så det er nok ikke natively støttet...

 

Åssen TP-Link er det mener du? Du kan jo sette opp både tftp og syslog server på hva som helst egentlig...

[toreae]

I den sammenhenhengen blir routern client, filserveren som må ha rsync-noe (husker ikke hva det heter).

 

TP-Linken er en AC1200 Wireless Dual Band Router som egentlig gjør jobben som AP. Den er grei nok til simpel ftp, men elendig ytelse. Jeg tror ikke den muligheten til rsynk.

[toreae]

Rsyslog er linuxprogrammet jeg brukte for å logging av gamle 1841. Det, eller lignende er vel med det meste av ting som kjører linux.

[toreae]

Får nå "bare grønt" og Passed på grc.com - Shileds Up - all service ports. Bakdelen er at det blir kontrollert så mye med CCP-brannmuren at det kommer noen drops innimellom. Neste gang skal jeg velge Avansert -sone med minste sikkerhet. Vet ikke om det hjelper, men for meg ser det ut som at brannmur ikke takler all inspeksjon, samtidig med at den er litt utdatert / ikke kjenner igjen det den burde.

[toreae]

Fra log:

Sep 24 20:11:40.525 MET-DST: %DNSSERVER-3-BADQUERY: Bad DNS query from aaa.bbb.ccc.ddd. Adresse aaa.bbb.ccc.ddd er den stasjonærd PC-en til yngste guttungen.

Alt jeg kan finne om dette på internett, er at folk har DNS-Server på ruteren sin, og ikke stengt for forespørsler fra utsiden. Ingenting om forespørsler med feil fra innsiden/lokalnettet.

PC-en er av nyere dato, Win10 og det spilles mye. Er det en måte å finne ut hva det er som sender ut dette?

[ChrisCo]

Hva kjører DNS server og hvordan er det satt opp?

[toreae]

Her er vel beste forklaringen.

[ChrisCo]

Burde løses enkelt ved å legge inn en ACL på WAN interfacet ditt med deny statements;

 

ip access-list extended nowandns

deny tcp any any eq 53

deny udp any any eq 53

[toreae]

Hvorfor det? Forespørsler fra utsiden kommer ikke inn fra utsiden. Brannmuren gjør jobben. Poenget er at PC-en til guttungen sender noen forespørsler (4 til 10 om dagen) som er feil. Den sender vel kanskje noen tusen om dagen som er rett.

[ChrisCo]

Sorry! Jeg som har rota voldsomt med hue!     Har ikke vært helt i toppform siste tida..

 

Har aldri opplevd dette selv, så er litt usikker, men du kan prøve (no) debug domain og se... Er det tilfeldig hvilke oppslag om feiler?

[toreae]

Det skal jeg prøve. Var låst bort på debug ip dns *, men fant ikke noe rett.

[ChrisCo]

Vet alt om det!   

[toreae]

Sep 27 18:21:38.734 MET-DST: %DNSSERVER-3-BADQUERY: Bad DNS query from aaa.bbb.ccc.ddd

Sep 27 18:22:08.735 MET-DST: %DNSSERVER-3-BADQUERY: Bad DNS query from aaa.bbb.ccc.ddd

 

Og ingenting mer. Men må jeg sette noe i logging til debug også?

 

-- 

    Buffer logging:  level notifications, 2147 messages logged, xml disabled,

--

    Trap logging: level notifications, 6470 message lines logged

--

[ChrisCo]

Virker som det er den spesifikke maskinen det er snakk om da, når det kun kommer fra den.. Ville heller ha sjekket opp den..

[toreae]

Og der kom samme linjen i loggen, bortsett fra denne gang er det en Samsung mobil. Min hypotese er at det er tilført noe nytt i protokollen som ikke Cisco har tatt med.

 

 

Har 3 IP-er (WAN) som lager mange linjer i loggen. Alle er spill-servere. Data/pakker fra disse blir tydeligvis veldig fragmentert, og brannmur har ikke buffer eller regnekraft nok til å sette sammen pakker og dropper disse. Har egentlig ikke noe tanke om hva jeg skal gjøre med dette, om noe. Det beste hadde vært QOS. Det enkle er å sette switch til 10Mb til brukerne (LAN). Men den en enhet er mobiltelefon...

Problemet er vel egentlig at annen trafikk sannsynligvis lider når dette oppstår.

[ChrisCo]

Aldri opplevd dette, så vet ikke hva som kan være feil.. Prøv å google feilmeldingen fra loggen...

 

Du må huske at routeren er ikke laget for å være en brannmur. Den har noen funksjoner, men er ikke beregnet på å fungere som det. For mye, vil overbelaste CPU, og da blir pakket droppet. Du burde heller skaffe deg en brannmur hvis du har behov for det og la routeren være router..

[toreae]

Er dette en riktig/korekt/grei måte å blokkere eksterne IP-adresse på?

Cisco#conf t

Cisco(config)#ip access-list extended Block

Cisco(config-ext-nacl)#deny ip aaa.bbb.ccc.ddd 255.255.255.0 any 

Cisco(config-ext-nacl)#permit ip any any

Cisco(config-ext-nacl)#exit

Cisco(config)#

Cisco(config)#int GigabitEthernet0/0

Cisco(config-if)#ip access-group Block

Cisco(config-if)#exit

Cisco(config)#exit

 

Er det noe bra (gratis-) program for å lese log? Altså som er spesialisert for å "skjønne" log, statistikk etc?

[ChrisCo]

Du bruker en standard ACL og ikke maske.. 

 

Gratis vet jeg ikke..