CBOS: \"set filter\" på Cisco 677

Der er åbenbart ikke noget der kan/vil/gider at svare, så jeg har smidt 500 point oveni ... håber der er nogen derude, der kan hjælpe?

Jeg forsøger mig lige:

Spære al trafik ind:
set filter 0 on deny incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp

Der står så \"all\", dette kan du definere til wan0-0 for adgang til internettet og eth0 til dit netværks interface.
0.0.0.0 0.0.0.0 definere først IP adressen, 0 er det hele. De næste 0.0.0.0 er subnet, igen er 0 det hele.

---

Spær al trafik ud:
set filter 1 on deny outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp

Det samme gør sig gælden her, 0 er alt.
Bemærk jeg har ændret \"set filter 0\" til \"set filter 1\". Det er fordi jeg ikke vil overskrive det andet filter.
Mig bekendt så går routeren filterne igennem slavisk, dvs. først 1, så 2, så 3 o.s.v.

---

Tillad trafik til/fra internet på port 80

Web ind:
set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80

Web ud:
set filter 3 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80

Her er det defineret en source port samt destination port. Altså port 80 som web bruger.
Der hvor IP adressen står kan du i andre tilfælde definere at det kun er din server der må komme ind/ud.

---

Ftp ind:

set filter 4 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 20-21 destport 20-21

Ftp ud:
set filter 5 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 20-21 destport 20-21

---

Hvis du har problemer kan du kigge her eller skrive tilbage.

http://www.paikin.dk/adsl-faq.phtml

Jeg vil anbefale dig at \"grappe\" din config eller sikre dig du kan lægge den ind igen. Just in case.
Man ved aldrig om der går noget galt.

Til allersidst skal jeg nok også lige sige at for at kunne gøre dette her SKAL du gøre det fra dit konsol kabel (det blå/grå), for ellers lukker du dig selv ude (hvis du bruger telnet).

Held og lykke.

Glemte lige og nævne at hvis du også skal bruge telnet så skal du i denne:

set filter 4 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 20-21 destport 20-21

ændre filter nr, srcport, destport.
Til telnet er det vist 23, så skal der ligsom i web bare stå det samme tal.
(srcport 23-23 desport 23-23).

En sidste ting,

Der er jo som du har set 2x8 nuller (0).
De første 8 er LAN,
IP og så subnet.

De næste 8 er WAN,
IP og så subnet.

Som nævnt, 0.0.0.0 definere alle adresser.

Du skal også huske at web bruger DNS til og lave opslag, dvs. den skal du også tillade:

Her er en liste taget fra overnævnte URL over forskellige porte og protokoller de benytter:

Echo                7 (TCP & UPD)
FTP                21 (TCP)
SSH                22
Telnet, WinGates    23 (TCP)
SMTP                25 (TCP)
Time                37 (TCP & UDP)
WhoIs              43 (TCP)
DNS                53 (TCP & UDP)
Finger              79 (TCP)
HTTP/web            80 (TCP)
POP3              110 (TCP)
NNTP              119 (TCP)
HTTPS              443 (TCP)
AIM/ICQ          5190
IRC              6665
PcAnywhere        5631 (TCP) og 5632 (UDP)
NetOp            9999 (TCP) eller 6502 (TCP)


Som du kan se bruger DNS både TCP og UDP.
Så skal du tillade dem begge på port 53.

Det ville nok være klogt at gøre det i omvendt rækkefølge, ikke? altså sætte 2, 3, 4 osv først, og så til sidst sætte filter 0 og 1 - hvis jeg starter med at sætter filter 0 og 1, starter jeg jo med at blokkere mig selv ude fra telnet, og så kan jeg ikke sætte resten af filtrene??

Nu har jeg f.eks. forsøgt mig med:

set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80

men får bare \"command not understood - please see help\" ... er der en fejl i den linie?

Jeg siger netop til dig at du IKKE skal bruge telnet til og gøre dette her. Det er lige meget om du sætter 3 eller 8 først, du VIL blive lukkket ude.
Derfor, brug Hyperterminal eller anden konsol program.

Umiddelbart er der ikke nogen fejl i den linje. Jeg vil anbefale dig 2 ting:

Enten kopiere du linjen og paster den ind i programmet.

eller

Du gør således f.eks.

set ?
så vil der dukke muligheder op efter set
i dette tilfælde
set filter
hvis du så skriver
set filter ?
så dukker den frem og siger du skal angive en værdi, f.eks. 2 for og sætte filter 2.

Jeg tjekker den lige når jeg kommer ud på arbejedet. Har en router derude og lege med.

Kunne godt tænke mig lige og vide er par ting:

Hvad udbyder har du?
Hvad version af CBOS bruger du? (sh ver)

Jeg har ingen problemer, her er et udsnit.
Sørg for du skriver rigtigt, en lille fejl og så vil den ikke modtage kommandoen.
Det kan være en fordel og copy/paste.

---

cbos#set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80
Filter 2 changed

cbos#sh ver

Cisco Broadband Operating System
CBOS (tm) 677 Software (C677-I-M), Version v2.3.9 - Release Software
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Feb 16 2001 14:02:57
DMT FULL firmware version 0x3019be70
NVRAM image at 0x10337e40

cbos#

Her kan du på CyberCitys hjememside læse lidt omkring filter

http://www.cybercity.dk/support/cisco677_vejledning/filter_og_firewall/home.phtml?link=11

Her kan du \"portforware\" dvs. vidersende pakker fra en port til en bestemt computer.

http://www.cybercity.dk/support/cisco677_vejledning/port-forwarding_og_server/home.phtml?link=8

Og generalt omkring routeren m.m.
Det er nogle ret gode sider.

http://www.cybercity.dk/support/cisco677_vejledning/

Sikken masse :) ... nå, lad os se ... For det første: jeg bruger skam HyperTerminal - men jeg bruger TCP/IP i den ... men det skulle vel heller ikke være noget problem, så længe jeg sørger for at installere alle mine ALLOW filtre, inden jeg aktiverer nogen DENY filtre? Forudsat at jeg huske at lave et allow filter til telnet-port\'en selvfølig?

Mine port-forwards har jeg allerede selv fundet ud af sætte op, det er testet og virker fint.

Og ang. copy/paste - selvfølgelig bruger jeg copy/paste :) ... men det funker altså ikke:

cbos>enable
Password: **********

cbos#cbos#set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80
Command not understood - please see help

Og det ser heller ikke ud som om, det er en gammel version jeg bruger:

cbos#sh ver

Cisco Broadband Operating System
CBOS (tm) 677 Software (C677-I-M), Version v2.4.2 - Release Software
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Apr  8 2001 15:20:43
DMT FULL firmware version 0x2219be04
NVRAM image at 0x102ef940

Min udbyder er Cybercity, og jeg har læst alt hvad der var at læse på deres support sider - men det er jo ikke alverden. De forklarer kun hvordan man blokkerer bestemte porte, og det kan jeg ikke rigtig bruge til noget, eftersom der er nok ca 75 forskellige worms i omløb, der angriber på forskellige port-numre, og man kan kun bruge 20 filtre ...

Sådan ser syntax\'en til \"set filter\" ud på min router:

cbos#set filter
FILTER requires one of the following arguments
<code>                    The number of the filter you would like to change
[on|off|reset]            Enable, disable, or reset the filter
[deny/allow]              Deny or allow packets based on this filter
[incoming|outgoing]      Direction to filter
<interface>              The interface to apply filter on
                          i.e. \"eth0\", \"wan0-0\"... or \"all\"
<src ip>                  The incoming ip address to look for
<src mask>                The incoming netmask to look for
<dest ip>                The outgoing ip address to look for
<dest mask>              The outgoing netmask to look for
<protocol [TCP|UDP|ICMP]> IP protocol to filter
<srcport <lo>-<hi>>      The source TCP/UDP port range to block
<destport <lo>-<hi>>      The destination TCP/UDP port range to block
For more information see \"help filter\"

...

Andet du har brug for at vide? :) ... lyder som om du har styr på det, men der er måske foskel på den version du er vandt til at arbejde med?

Nu skal jeg lige ha afklaret noget.
Du paster:

cbos#set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80

Du skal ikke have starten med, altså unlad det første \"cbos#\".

Jeg ved ikke om dette var en fejl, men forsøg lige igen.
Altså skal du kun paste:

set filter 2 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 80-80 destport 80-80

Selvfølgelig skal du være i enable mode.

Og ja, du skal tilslutte via. hyperterminal som du allerede gør, BORTSET fra du skal bruge dit konsol kabel, ellers lukker du dig selv ude hvad enten du lader allow komme først eller ej.

Det skal virke uanset software. (Altså 2.3.9 eller 2.4.2)
Jeg har lige smidt den software du bruger på en router men jeg har ingen problemer.

Og ja, jeg kender en del til det. Har arbejdet med dem i ca. 6-7 måneder hvor jeg arbejder.

Endelig er jeg på igen - trods dine advarsler, startede jeg selvfølgelig med at forsøge at sætte et allow filter alligevel, hvilket resulterede i at jeg blev låst ude, og måtte anskaffe et serial kabel - så der røg lige et par dage, men nu er jeg klar til at komme videre.

Jeg har i mellemtiden lært, at når man sætter det første allow filter, og ikke har sat nogen denies, så bliver der implicit foretaget en blokkering af al traffik, indgående såvel som udgående, på alle porte. Det skulle med andre ord slet ikke være nødvendigt at bruge filter 0 og 1 til at sætte denies med i første omgang - man skulle kunne nøjes med kun at sætte allows, på de porte man vil have åbnet. Stemmer det med dine erfaringer?

Og det skulle altså for resten også kunne lade sig gøre at konfigurere filtre via telnet, man skal bare starte med at oprette sine filtre med OFF i stedet for ON, og så til sidst skriver man \"set filter on\", og så tænder den alle filtrene samtidig?

Men nu vil jeg rode lidt med nogen af alle de ting du har beskrevet her, og så vender jeg lige tilbage! :)

Lige en ting til: ved du hvordan man bruger web-config\'en? Jeg har sat den op, men den spørg naturligvis om en brugernavn og password i browseren - password\'et har jeg jo, men hvad er brugernavnet til web adgang? Kan man finde det på en eller anden måde? Har forsøgt med mit cybercity bruger ID, men det funkede ikke ...

En sidste lille ting: kan det passe, at den glemmer hele konfigurationen, når den bliver slukket? Jeg var nødt til at hive stikket ud, for at få den ind til min anden computer og komme ind via serial, og efter det, er både NAT tabellen, og det filter jeg satte, væk! :/

Sikke en masse, jeg troede ikke du kom på igen ;)
Jeg forsøger lige og besvare dine spørgsmål et af gangen.

\"Jeg har i mellemtiden lært, at når man sætter det første allow filter...\"

Det kan jeg ikke svare dig på fordi jeg ikke selv har prøvet det på den måde. Jeg kan desværre kun sige at du kan prøve dig frem. Ellers når jeg engang får lavet en opstilling så skal jeg da gerne teste det for dig men det er ikke sandsynligt det bliver lige her og nu da jeg har lidt travlt på arbejdet.

---

\"Og det skulle altså for resten også kunne lade...\"

Du kan ikke sætte alle din filtre på ON på éngang, der bliver du nød til og sætte dem on en efter en.

Set filter 0 on
Set filter 1 on
Set filter 2 on
o.s.v.

(I hvert fald ikke i CBOS 2.3.9)

men ja, du kan oprette dem så de er i OFF \"mode\".

---
\"Lige en ting til: ved du hvordan man bruger web-config\'en?...\"

Webconfig, det drillede også mig til en start.

Når den dukker frem og spørger om brugernavn og adgangskode er det:

Username: enable
Password: Din kode fra udbyderen

Lidt trickey...Jeg troede også først det var ens eget username men det virker egenligt ret logisk nu da man jo skal i enable mode før man kan konfige routeren.

---

\"En sidste lille ting: kan det passe, at den glemmer hele konfigurationen...\"

Ja den glemmer de du har lavet indtil du bruger kommandoen

write

Så skriver den dens nuværende konfiguration til sin \"hukommelse\" så den kan huske ændringerne. Også hvis den bliver genstartet.

Det må du undskylde jeg glemte og sige til dig, men jeg ved at CC har en konfig liggende som man skal rette til så du kan komme på igen (Selvom jeg går ud fra du er kommet på).

Håber det var svar, ellers kan du spørge igen, jeg står gerne til rådighed så godt jeg kan =)

Det med at sætte filtrene on på en gang, læste jeg et eller andet sted - men jeg kan godt se, at det kan man ikke ... så man er altså nødt til at bruge kablet, for at sætte filtre op.

Det med, at den selv blokkerer alt, hvis du kun sætter allows, den er god nok - jeg kunne ikke engang ping\'e den efter jeg satte det første allow filter. (det står også i CBOS manual\'en, så det skulle vel passe)

Det med write kommando\'en, regnede jeg ud - d\'oh! :)

Web config\'en har jeg bestemt mig for ikke at rode mere med, man kan ligeså godt lære at gøre det \"rigtigt\" ikk? ;)

...

OK, men så tilbage til de filtre. Nu har jeg forsøgt med flg. konfiguration:

cbos#show filter
IP Filtering is currently enabled
Number of Filters currently enabled: 4
  on/                deny/        source      dest.  source/    dest/
#  off  int  direction allow prot  ports      ports    mask      mask
0  OFF eth0  incoming ALLOW                            0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
1  OFF eth0  incoming ALLOW                            0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
2  ON  all    incoming ALLOW TCP    80-80      80-80    0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
3  ON  all    outgoing ALLOW TCP    80-80      80-80    0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
4  ON  all    incoming ALLOW TCP    23-23      23-23    0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
5  ON  all    outgoing ALLOW TCP    23-23      23-23    0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
6  OFF eth0  incoming ALLOW                            0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0
7  OFF eth0  incoming ALLOW                            0.0.0.0/  0.0.0.0
                                                        0.0.0.0 0.0.0.0

(osv. - resten af filtrene er OFF)

Jeg troede faktisk jeg havde fået det på plads nu, men det duer stadig ikke - ligeså snart jeg sætter filtrene ON, spærrer den for telnet forbindelsen. Hvad går der galt?? :/

...

PS: du skal nok få points\'ne, uanset hvad - du har allerede hjulpet mig meget - tak! :) ... venter bare lige med at trykke accepter, så vi ikke mister forbindelsen også! ;)

Du kan altid fange mig enten på ICQ eller min mail, mener begge dele står under mit minisite.

Det med dine filtre...Har du prøvet og bruge dit konsol kabel? Det er og fortrække når du roder med filtre. Mest fordi du med stor sandsynlighed lukker dig selv ude.

Har du prøvet og skrive write og så en reboot?
Jeg må indrømme at jeg regner med du har gjort det.

Det med at det ikke virker, hmm
jeg prøver lige og finde ud af om routeren overhovedet er klog nok en \"firewall\" til og kunne gøre dette. Det burde den kunne efter min mening ellers kan jeg ikke lige se logikken mht. filter.

Men prøv at bruge et seriel kabel og så sætte dem til on. Dernæst prøv og gå på nettet først. Hvis det ikke virker så...hmm så vil jeg tænke lidt videre og høre mine kollegaer om de ved det.

Du kan vist også tillade ICMP (Ping) ved følgende to kommandoer,

set filter 8 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ICMP ?

set filter 9 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 ICMP ?

Hvis der er ? tegn så acceptere den filtert, men er der intet så vil den have mere. Det forstår jeg faktisk ikke lige, men prøv - Så kan du bruge ping til og se om du kan komme ud på nettet.

Men sig til hvis det ikke virker så prøver jeg lige og høre en af mine kollegaer.

Jeg brugte naturligvis kablet, da jeg testede filtrene - jeg lavede en write, efter jeg havde sat dem op, og genstartede, for en sikkerheds skyld. Men jeg havde hverken telnet adgang til konfigurationen, eller adgang til nettet, derefter ... (det med adgangen til nettet, kan selvfølgelig også skyldes at jeg ikke har fået åbnet for DNS adgang endnu, men telnet var der, som du kunne se, åbent for, så det burde have virket?)

Ja, det burde det sådan set.

Jeg tester lige om jeg kan sætte noget ligende op på routeren imorgen. Telnet kan jeg ihvert fald teste. Hvis du ikke finder ud af noget mere så vender jeg forhåbenligt tilbage imorgen med mere nyt.