Cisco soho77 - access-lists

Jeg ville prøve:

deny tcp any any
deny tcp any any
Permit (de ting du vil åben for)

også ligge den på Ethernet 0 access-list 101 in
MVH Kenneth

Jeg vil helst høre fra én som her 100% sikker...Er du det?

Måske ik lige 100%, men noget der minder om det.

Men jeg kan se jeg lavede en lille fejl, anden linie med deny, skal der selvfølgelig stå udp i stedetfor tcp.

Det du foreslår er ikke rigtigt :-(

Jeg oprettede en access-list med følgende kommandoer:

en
[pass]
configure terminal
access-list 120 deny tcp any any
access-list 120 deny udp any any
access-list 120 permit tcp any any range 20 25
access-list 120 permit udp any any range 20 25
access-list 120 permit tcp any any eq 80
access-list 120 permit tcp any any eq 110
access-list 120 permit tcp any any eq 443
access-list 120 permit udp any any eq 80
access-list 120 permit udp any any eq 110
access-list 120 permit udp any any eq 443

interface ethernet 0
ip access-group 120 in

Herefter mistede jeg forbindelsen til routeren og samtidig til internettet.

Årsager tror jeg er at filtret læses fra toppen, når en request finde en linie den opfylder så er det den der gælder uanset hvad der står i efterfølgende linier. Og i dit forslag starter vi med at deny ALT.

For en ordens skyld har jeg også prøvet det omvendte, det virker desværre heller ikke.

/Kristian

Jeg har researchet lidt...en access-list afslutter altid med en implicit "deny any any" og den læser fra toppen og ned indtil den finden en linie der passer.

Men hvorfor virker dette så ikke:

Extended IP access list 102
    permit tcp any any range ftp-data smtp (24 matches)
    permit udp any any range 20 25
    permit tcp any any eq www (4227 matches)
    permit udp any any eq 80
    permit udp any any eq 110
    permit tcp any any eq pop3
    permit tcp any any eq 443 (57 matches)
    permit udp any any eq 443

Som du kan se så matcher den....men jeg får ikke svar??? Er det fordi der mangler nogle indgående åben porte???

Jeg har prøvet om jeg kunne finde mine ting fra skoletiden, men det kunne ikke lade sig gøre. Så jeg er vist ik til meget hjælp, indtil videre.

jeg har løst mit problem.

Accesslisten skal se sådan ud, hvorved den lukker for mest muligt...:

Extended IP access list 102
    permit tcp any any range ftp-data smtp (24 matches)
    permit udp any any range 20 25 (er ikke nødvendig, men jeg mangler lige at teste)
    permit tcp any any eq www (4227 matches)
    permit udp any any eq 80
    permit udp any any eq 110
    permit tcp any any eq pop3
    permit tcp any any eq 443 (57 matches)
    permit udp any any eq 443
    permit udp any any eq 53 (manglede! DNS)
    permit tcp any any eq 53 (manglede! DNS)
    permit tcp any any gt 1023 established
    permit imcp any any

Det vigtige her er at jeg har tilføjet port 53 til dns.

Jeg har åbnet for at der må sendes svar tilbage på porte over 1023, men kun såfremt at routeren kan se at der har været en udgående forespørgsel (=established)

Det næste er at jeg har tilladt imcp protokollen, det bruger puterne til at fortæller hinanden noget pakke størrelse osv. Desuden skal dette tillades hvis du vil bruger tracert, ping osv. Jeg har tilladt alt på denne, det behøver jeg ikke, så jeg vil nok når jeg har tid begrænse den lidt mere.
   
Tak for din hjælp!

Smid lige et svar hvis du vil have point for din andel af svaret :-)

Her er en uddybende forklaring:

**** Indlæg af Klaus Ellegaard / news:tiscali.produkter.adsl.dk
Cisco interfaces skal ses, som om man sad inde i routeren. Det
vil sige, at "in" på Ethernet-porten betyder "data fra din pc
mod nettet", fordi data kommer IND gennem Ethernet-porten. Husk
at vende access-listen rigtigt og proppe den på den rigtige
retning.

Data flyder normalt fra en vilkårlig port til en service på en
specifik port. Når vi snakker web-trafik, er det port 80, vi
skal have trafik til. Men trafikken skal også komme et sted
fra, og det er fra en vilkårlig port over 1023.

Skal man hente www.jp.dk, åbner browseren typisk 4 forbindelser
til www.jp.dk. Det kan være:

Fra pc'ens port 8747 til www.jp.dk port 80
Fra pc'ens port 56287 til www.jp.dk port 80
Fra pc'ens port 7384 til www.jp.dk port 80
Fra pc'ens port 21838 til www.jp.dk port 80

Det er ikke voldsomt sandsynligt, for de tages normalt nogenlunde
i rækkefølge. Men det illustererer princippet i det.

Man kan vælge at glemme alt om source-ports og bare tillade al
trafik ud, så længe de er til kendte porte (tcp 80 for web, tcp
25 for smtp, osv).

Man kan også vælge "established" trafik, hvilket vil sige, at
routeren holder øje med, om returtrafik nu engang også er svar
på en forespørgsel.

Eller man kan vælge at tillade de fleste porte over 1023 og så
bare sørge for at lukke dem, der er kendte sikkerhedshuller i
(for Unix-bokse vil det ofte være port 6000 og en håndfuld op,
lidt fontservices og den slags). Jeg har ikke lige styr på de
tilsvarende porte på en Windows-boks.

Men i dit konkrete tilfælde vil det være en udmærket start at
få tilføjet port 53 udp/tcp, droppet deder ekstra udp-porte på
20-25, 80, 110 og 443, tilladt returtrafik på >1023 (hvilket
afhængig af konfigurationen giver sig selv) og tjekket retningen
den er sat på interfacet.
****