Hello,
A fenti cuccot próbálom éleszteni. T-com-os hálózaton példa konfiggal.
Sokat nem értek hozzá, de mennie kéne ez alapján http://pastebin.com/m5eeb736f
Köszi.
- 1614 megtekintés
Hozzászólások
Szia!
Ime egy Cisco 836 router működő programja. A dnsszerver1 és 2 helyére az ip címek kerülnek, a felhasználó és a jelszó gondolom egyértelmű...
Használd egészséggel!
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SRouter
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool private
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server dnsszerver1 dnsszerver2
lease infinite
!
!
ip name-server dnsszerver1
ip name-server dnsszerver2
ip ips po max-events 100
no ftp-server write-enable
!
!
partition flash 2 15 1
!
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
description #Eth-WAN#
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface BRI0
no ip address
shutdown
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode annexb
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname felhasznalo@t-online.hu
ppp chap password felhasznalojelszo
ppp pap sent-username felhasznalo@t-online.hu password felhasznalojelszo
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
ip nat pool private 10.10.10.2 10.10.10.10 netmask 255.255.255.0
ip nat inside source list 2 interface Dialer0 overload
!
!
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
no modem enable
transport preferred telnet
line aux 0
line vty 0 4
login
transport preferred telnet
!
scheduler max-task-time 5000
!
end
- A hozzászóláshoz be kell jelentkezni
Köszi! Próbálom..
- A hozzászóláshoz be kell jelentkezni
Faragtam rajta, a következők az eredményeim:
Mar 1 00:37:53.607: DSL: Using subfunction 0xA
*Mar 1 00:37:53.607: DSL: Using subfunction 0xA
*Mar 1 00:37:53.607: DSL: Sent command 0x5
*Mar 1 00:37:56.111: DSL: 1: Modem state = 0x8
*Mar 1 00:37:58.611: DSL: 2: Modem state = 0x8
*Mar 1 00:38:01.111: DSL: 3: Modem state = 0x10
*Mar 1 00:38:03.611: DSL: 4: Modem state = 0x10
*Mar 1 00:38:06.111: DSL: 5: Modem state = 0x10
*Mar 1 00:38:08.611: DSL: 6: Modem state = 0x10
*Mar 1 00:38:09.679: DSL: Received response: 0x24
*Mar 1 00:38:09.679: DSL: Showtime!
*Mar 1 00:38:09.679: DSL: Sent command 0x11
*Mar 1 00:38:09.679: DSL: Received response: 0x61
*Mar 1 00:38:09.679: DSL: Read firmware revision 0x1A04
*Mar 1 00:38:09.679: DSL: Sent command 0x31
*Mar 1 00:38:09.679: DSL: Received response: 0x12
*Mar 1 00:38:09.683: DSL: operation mode 0x0001
*Mar 1 00:38:09.683: DSL: SM: [DMTDSL_DO_OPEN -> DMTDSL_SHOWTIME]
*Mar 1 00:38:10.831: Resetting ATM0
*Mar 1 00:38:12.579: %LINK-3-UPDOWN: Interface ATM0, changed state to up
*Mar 1 00:38:13.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, chan
ged state to up
eddig jó, gondolom
*Mar 1 00:38:21.023: padi timer expired
*Mar 1 00:38:21.023: Sending PADI: vc=1/32
Majd padi timer expired jön folyamatosan.
- A hozzászóláshoz be kell jelentkezni
ez a jelenlegi config
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SRouter
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
ip name-server 80.xxx.xxx.xxx
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool private
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 10.0.0.1
lease infinite
!
!
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
description #Eth-WAN#
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1412
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode annexb-ur2
!
interface ATM0.1 point-to-point
pvc 1/32
pppoe-client dial-pool-number 1
!
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname felhasznalo@t-online.hu
ppp chap password 0 felhasznalojelszo
ppp pap sent-username felhasznalo@t-online.hu password 0 felhasznalojelszo
!
ip nat pool private 10.10.10.2 10.10.10.10 netmask 255.255.255.0
ip nat inside source list 2 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
line con 0
transport preferred telnet
stopbits 1
line vty 0 4
password pass
login
transport preferred telnet
!
scheduler max-task-time 5000
end
- A hozzászóláshoz be kell jelentkezni
Lenne kérdésem:
- A DHCP pool-ban a dns-szerver valóban 10.0.0.1 ?
- A Dialer0 interface-ban a ppp pap sent.. kezdetű sort egy parancssorba írtad?
(a küldésnél szét volt tördelve)
Ez tehát egy parancssor:
ppp pap sent-username user@t-onlineponthu password jelszo
- A másik (előtte lévő) parancssor is szét van tördelve:
ppp chap hostname user@t-onlineponthu
Milyen területen vagy? Bp?
Biztos, hogy a PVC 1/32?
Még egy kis info:
http://www.gossamer-threads.com/lists/cisco/nsp/80205
http://books.google.com/books?id=WFNlge7pN2AC&pg=PA70&lpg=PA70&dq=padi+…
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_e…
A linkek is azt mutatják, hogy a PVC beállítások környékén érdemes kapirgálni, de nagyon úgy tűnik, hogy beszélned kell az ÍESPÉvel...
- A hozzászóláshoz be kell jelentkezni
Oké, oké. Respect mindenkinek :). Postolás után már láttam a hibákat.
atm0 nohup-al felhoztam. A dnsszerver természetesen elírás. Az auth-ig el sem jutottam. A kulcsszót kimondtad, szerintem a pvc-n buktam el.
Aztán a sokadik minta konfig után egy reload megoldotta a kérdést :).
Működik, most küzdök az access listekkel, port forward stb.
Ja, pvc 8/32-vel megy, postolok majd kész konfigot.
- A hozzászóláshoz be kell jelentkezni
interface ATM0
shutdown
Ez biztos, hogy így van? Hogy működhet egy shutdown-ban levő interfész?
- A hozzászóláshoz be kell jelentkezni
Igaza van az előttem szólónak... minden interfész lezárása előtt #no shut
Nem vettem bele az elküldött parancssorok közé!
Tényleg régen progiztam Cisco-t. Ez van, ha nem kell hozzányúlni egy komolyabb cucchoz.
- A hozzászóláshoz be kell jelentkezni
ja, meg ha internetre kerül, akkor min. tennék egy access-listet a telnetre is, mert különben megérkeznek a látogatók :)
- A hozzászóláshoz be kell jelentkezni
Jogos. Apró lépések :). Köszi az infokat.
- A hozzászóláshoz be kell jelentkezni
Imhol a működő konfig. Egy kis segítség azonban még elkelne.
A 130-as acl-el szeretném a LAN-ról kifele menő forgalmat szabályozni.
Konkrétan a minden porton lehet kifele jönni helyett a standard portokat engedném csak át (80,443,20,21,110 stb). Ez főleg a kliensekre beszedett worm-ok ellen lenne eredményes, mostanában sajnos volt ilyen több is. A 120-as acl-re is szívesen fogadnék észrevételt.
Köszi előre is!
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname gw
!
boot-start-marker
boot-end-marker
!
logging buffered informational
enable secret 5 $1$.5LY$LOjrA5FvO.SX12cboXYL.0
!
no aaa new-model
no ip domain-lookup
ip subnet-zero
no ip source-route
ip name-server 195.xx.xx.xx
!
ip dhcp pool Home
network 192.168.0.0 255.255.255.0
default-router 192.168.0.251
netbios-node-type h-node
dns-server 82.144.160.116 82.144.160.179
lease infinite
!
no ip bootp server
ip cef
!
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
description $FW_INSIDE$
ip address 192.168.0.251 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip access-group 130 in
ip tcp adjust-mss 1412
no cdp enable
hold-queue 100 in
hold-queue 100 out
no shutdown
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no atm ilmi-keepalive
dsl operating-mode auto
no shutdown
!
interface ATM0.1 point-to-point
description Layer2 connectivity
no ip redirects
no ip unreachables
no ip proxy-arp
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface Dialer1
description $FW_OUTSIDE$
ip address negotiated
ip access-group 120 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1432
dialer pool 1
dialer-group 1
no keepalive
no cdp enable
ppp authentication chap pap callin
ppp chap hostname user@isp
ppp chap password user
!
ip nat inside source list 120 interface Dialer1 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
ip access-list standard SNMP-ALLOWED
permit 192.168.0.10
deny any
!
logging 192.168.0.150
access-list 120 remark Allow public services
no access-list 120
access-list 120 permit tcp any eq 443 any
access-list 120 permit tcp any eq 1723 any
access-list 120 permit tcp any eq 2222 any
access-list 120 permit udp any eq 53 any
access-list 120 permit tcp any eq 80 any
access-list 120 permit tcp any eq 443 any
access-list 120 permit gre any any
access-list 120 permit icmp any any echo
access-list 120 permit icmp any any echo-reply
access-list 120 permit icmp any any source-quench
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any time-exceeded
access-list 120 deny icmp any any log
access-list 120 permit icmp any any
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
access-list 120 permit ip any 192.168.0.0 0.0.0.255
access-list 120 deny ip any any log
access-list 130 remark internal net rules
access-list 130 permit tcp host 192.168.0.9 any eq smtp
access-list 130 deny tcp 192.168.0.0 0.0.0.255 any eq smtp log
access-list 130 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community public RO 99
snmp-server enable traps tty
!
line con 0
stopbits 1
line vty 0 4
exec-timeout 2 0
password 7 03065A07070223495C
login
transport preferred telnet
!
scheduler max-task-time 5000
end
- A hozzászóláshoz be kell jelentkezni
> password 7 03065A07070223495C
Elnezest, erdemben nem tudok hozzaszolni (bar en is mostanaban birkozok mindenfele ACL-ekkel), de ilyesmit nem feltetlen erdemes postolni, mert ezek a jelszavak kb. fel perc alatt visszafejthetok (29.8 masodperc: a szukseges program/weboldal elobanyaszasa, 0.2 masodperc: decrypt)
- A hozzászóláshoz be kell jelentkezni
A 130-as acl-el szeretném a LAN-ról kifele menő forgalmat szabályozni.
Konkrétan a minden porton lehet kifele jönni helyett a standard portokat engedném csak át (80,443,20,21,110 stb). Ez főleg a kliensekre beszedett worm-ok ellen lenne eredményes, mostanában sajnos volt ilyen több is. A 120-as acl-re is szívesen fogadnék észrevételt.
a konfig szerint:
130-as acl: a lan-on bejövő forgalmat szűri, és a 192.168.0.9 kivételével mindenki másnak tilos bárhova 25-ös portot nyitni azon a subneten, ezen felül mindent lehet
120-as acl: eszerint szűri az internet felől bejövő forgalmat is, valamint ez alapján dönti el, hogy mit nat-oljon, és mit ne:
beengedjük kintről a bent levő 443,... porton figyelő szerverekre a forgalmat (ezt nem is értem...), ezen felül beengedjük a gre és bizonyos icmp csomagokat, ill. beengedjük kintről a belső privát lan-unk cimeit forráscímként vagy célcímként tartalmazó csomagokat (ennek meg aztán végképp semmi értelme).
szerintem ezt baromira nem így akartad.
- A hozzászóláshoz be kell jelentkezni
>access-list 120 permit ip 192.168.0.0 0.0.0.255 any
>access-list 120 permit ip any 192.168.0.0 0.0.0.255
Ok, ez baromság.
>access-list 120 permit tcp any eq 443 any
>access-list 120 permit tcp any eq 1723 any
>access-list 120 permit tcp any eq 2222 any
>access-list 120 permit udp any eq 53 any
>access-list 120 permit tcp any eq 80 any
>access-list 120 permit tcp any eq 443 any
>access-list 120 permit gre any any
>beengedjük kintről a bent levő 443,... porton figyelő szerverekre a forgalmat (ezt nem is értem...)
Arra gondoltam, hogyha nat-olok belső szerverekre, attól még engedélyezni kell ezeket a portokat. Különben hogy nat-ol, ha eleve nincs is engedélyezve az adott port ?
Fixme.
Kérdés továbbra is, hogy LAN oldalról (130 acl), hogy tudom szabályozni, hogy kifele ne nyitogasson akárki akármit. Csak standard portokat. Köszi.
- A hozzászóláshoz be kell jelentkezni
Nem a pontos szintaxis szerint idézve, de logikailag kb. ezzel lehet elérni, amit szeretnél:
...
ethernet0
access-list x in
...
dialer0
access-list y in
...
ip nat access-list z
...
line vty
access-list w
acl x:
# ki hova mehet, es hova nem
permit tcp host 192.168.1.9 any eq 25
permit tcp 192.168.1.0 0.0.0.255 any eq 80
permit tcp 192.168.1.0 0.0.0.255 any eq 443
...
permit gre 192.168.1.0 0.0.0.255 any
permit icmp 192.168.1.0 0.0.0.255 any
deny ip any any
acl y:
# mi nem johet be kintrol
deny ip 192.168.1.0 0.0.0.255 any
permit ip any any
acl z:
# mit natolunk
deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
acl w:
# ki jelentkezhet be a keszulekre
permit ip 192.168.1.0 0.0.0.255 any
- A hozzászóláshoz be kell jelentkezni
Megvilágosodtam. Hegesztem tovább és referálok ;).
Thnx.
- A hozzászóláshoz be kell jelentkezni
> password 7 03065A07070223495C
> a jelszó balamber :D változtasd meg ;)
- A hozzászóláshoz be kell jelentkezni
Most már mindenki tudja. Nyilván megváltoztatom, illetve tanultam újfent.
- A hozzászóláshoz be kell jelentkezni