---

Hej

Denne nyhed er mest rette til Asbjorn Hojmark da han vel sikkert er en af de
få rå i DK der har alle Cisco certificater. :)

Ok jeg er nu kommet et stykke viderer, har fundet ud af en del om denne
lille SOHO77.

Jeg må sige at det er en kringlet lille fætter, jeg kan godt få portmappings
til at virke nu, men men men... mit passive mode på ftp virker af en eller
anden grund ikke.
Jeg vil meget gerne have dette til at virke, men nu er cisco ikke ligefrem
min stærkeste side.

Jeg har mappet både tcp/udp til min ftp, jeg har dog ikke mappet port 20 da
vi er flere der har ftp'er bag denne router.

Hvis det ikke er formeget at forlange så vil jeg også gerne have lidt info
om SNMP og hvordan man sætter det op så man kan få et sødt lille
web/side/interface hvor man kan se alle statistikker.

//Rasmus D. Jensen.

---

Rasmus D. Jensen. wrote:

> Jeg har mappet både tcp/udp til min ftp, jeg har dog ikke mappet port 20 da
> vi er flere der har ftp'er bag denne router.


Prøv at tage et kik på:

http://slacksite.com/other/ftp.html

Bagefter kan du evt. fjerne din udp mapping.

---

okay har læst det nu.

Synes ikke rigtig det hjalp mig, og hvis det var min udp mapping der skulle
være problemet så forstår jeg ikke at det ikke virkede før jeg mappede den.

Testede først med denne entry:
ip nat inside source static tcp 192.168.1.75 21 interface Dialer0 65000

men da det ikke virkede tilføjede jeg udp på samme port, men du må meget
gerne fortælle mig hvad jeg gør forkert... for det virker stadig ikke selv
om jeg har fjernet den udp mapping.

//Rasmus D. Jensen.

---

Rasmus D. Jensen. wrote:

> okay har læst det nu.


Prøv at læs den en gang til.


> Synes ikke rigtig det hjalp mig, og hvis det var min udp mapping der skulle
> være problemet så forstår jeg ikke at det ikke virkede før jeg mappede den.


....The Basics

FTP is a TCP based service exclusively. There is no UDP component to FTP...


> men da det ikke virkede tilføjede jeg udp på samme port, men du må meget
> gerne fortælle mig hvad jeg gør forkert... for det virker stadig ikke selv
> om jeg har fjernet den udp mapping.


Så har jeg blot forvirret dig endnu mere, ftp bruger ikke UDP. *sorry*

Dit virkelig problem går på port 20. Denne trafik er en udgående session
og ikke en indgående session, se evt. på den første tegning. Dvs. din
ftp server opretter en session til klienten med source port 20.

---

okay, jeg kan se hvad du mener nu med udp.
tak for at porienterer det. :)

okay, vi har testet det lidt viderer, ved ikke om du har misforstået mig
her, men FTP-serveren virker fint i active mode, men hvis clienter aktiverer
PASV så failer den.

Så vidt jeg forstod på de tegninger med PASV så er port 20 da ikke nødvendig
at mappe, men så igen jeg kan jo have misforstået det. I det tilfælde, så
skal port 20 jo mappes, og det er da ikke sådant særligt fedt da vi jo netop
har flerer ftp-serverer bag denne router :(

Men jeg har undersøgt sagen lidt hos Cisco, det er hvis noget med at IOS
ignorer nogle pakker fra ftp hvis man bruger en ikke standart port til
ftpserveren...
læs det her -> http://www.cisco.com/warp/public/556/6.html

Kan det muligvis være det der er problemet?

//Rasmus D. Jensen.

---

Rasmus D. Jensen. wrote:

> okay, vi har testet det lidt viderer, ved ikke om du har misforstået mig
> her, men FTP-serveren virker fint i active mode, men hvis clienter aktiverer
> PASV så failer den.


Hmm, jeg er vist ikke særlig god til at læse subjektet på denn tråd :)


> Så vidt jeg forstod på de tegninger med PASV så er port 20 da ikke nødvendig
> at mappe, men så igen jeg kan jo have misforstået det. I det tilfælde, så


Nej, du har ret, jeg forvirrer dig blot, ved at snakke om aktive sessioner.

Den nemme/dovne løsning vil være at tillade pakker med følgende udseende
fra Internet til ftp servere, source port >1023, destiation port >1023.

Den rigtige løsning vil være at lade NAT'en klarer ærterne, kan du evt.
smide en kopi af din konfiguration, hvor du stripper fx passwords, og
andre følsomme ting.

> Kan det muligvis være det der er problemet?


Kører du din ftp server på en anden port end 21?


> //Rasmus D. Jensen.
>
>
>

---

Her er min config:

Luderdaase#show configuration
Using 3240 out of 131072 bytes
!
version 12.1
no service pad
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
!
hostname Luderdaase
!
logging buffered 8192 debugging
logging console warnings
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
username xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
no ip finger
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool soho77
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 212.54.64.170 212.54.64.171
lease 0 1
!
!
!
!
interface Loopback0
no ip address
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no keepalive
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode ansi-dmt
!
interface Dialer0
ip address negotiated
ip access-group 100 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.75 21 interface Dialer0 65000
ip nat inside source static tcp 192.168.1.8 21 interface Dialer0 50000
ip nat inside source static 192.168.1.2 213.237.126.108 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 192.168.1.254
ip http server
ip http access-class 15
ip http path .
!
!
map-list word
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 100 deny icmp any any redirect
access-list 100 deny udp any any eq 19
access-list 100 deny tcp any any eq 31 syn
access-list 100 deny tcp any any eq 41 syn
access-list 100 deny tcp any any eq 58 syn
access-list 100 deny tcp any any eq 90 syn
access-list 100 deny tcp any any eq 121 syn
access-list 100 deny udp any any eq 135
access-list 100 deny tcp any any eq 135 syn
access-list 100 deny udp any any range 136 140
access-list 100 deny tcp any any range 136 140 syn
access-list 100 deny tcp any any eq 421 syn
access-list 100 deny tcp any any eq 456 syn
access-list 100 deny tcp any any eq 531 syn
access-list 100 deny tcp any any eq 555 syn
access-list 100 deny tcp any any eq 911 syn
access-list 100 deny tcp any any eq 999 syn
access-list 100 deny udp any any eq 1349
access-list 100 deny udp any any eq 6838
access-list 100 deny udp any any eq 8787
access-list 100 deny udp any any eq 8879
access-list 100 deny udp any any eq 9325
access-list 100 deny tcp any any eq 12345 syn
access-list 100 deny udp any any eq 31335
access-list 100 deny udp any any eq 31337
access-list 100 deny udp any any eq 31338
access-list 100 deny udp any any eq 54320
access-list 100 deny udp any any eq 54321
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 60 0
password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
login
transport input none
stopbits 1
line vty 0 4
exec-timeout 30 0
password xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
login local
length 0
!
scheduler max-task-time 5000
end


//Rasmus D. Jensen.

---

Rasmus D. Jensen. wrote:

> Her er min config:


Tak

Rasmus kan du ikke forklarer hvad du ønsker at implementere af regler?
(hvad der skal være tilladt og hvad der ikke skal være tilladt)

Dine regler ser "bagvendte" ud.

---

okay, da det er første gang jeg prøver at sætte sådant en router op så ved
jeg ikke hvad der er godt og hvad der er skidt.

Den eneste jeg ved er at Tiscali har sat den op med en masse lort.

Men jeg ville blive meget glad hvis du kunne hjælpe mig med at få den sat op
så den kørte perfekt.

Det jeg ænsker er LAVE pingtider i spil, og jeg ved at man med routeren kan
booste dem en smule.
Men samtidig ønsker jeg at det er muligt at have FTP'er,
Det ville også være fedt at kunne uploade i diverse programmer, så som IRC,
ICQ(icq virker i øjeblikket men det gør IRC ikke - why???).
For mig ville det også være fedt hvis vi kunne lukke tiscali ude af vores
router, da jeg ikke ønsker at de skal se hvordan den er sat op, jeg har fået
en advarsel af dem da jeg ændrede på opsætningen, men så vidt jeg ved - så
når jeg lejer deres router, så må de da ikke tjekke den da det i strid med
loven.
Hvis det er muligt vil jeg oxo gerne have det der monitoring til at køre,
men det er nu mest for blær og sån.

Håber det ikke er for meget at bede om??

// Rasmus D. Jensen.

---

On Tue, 30 Apr 2002 00:15:22 +0200, "Rasmus D. Jensen."
<iceman@xtreme2000.dk> wrote:

[Nå, der var din config]

> interface Ethernet0
> ip address 192.168.1.1 255.255.255.0
> ip nat inside

> interface Dialer0
> ip address negotiated
> ip access-group 100 in
> ip nat outside

> ip nat inside source list 1 interface Dialer0 overload
> ip nat inside source static tcp 192.168.1.75 21 interface Dialer0 65000
> ip nat inside source static tcp 192.168.1.8 21 interface Dialer0 50000
> ip nat inside source static 192.168.1.2 213.237.126.108 extendable

Hvad ønsker du at opnå med det? At sende port 65000 til én
adresse, 50000 til en anden, og at al anden trafik skal til en
tredje?

Jeg kan se, at de første to svarer fint, men jeg har ikke for-
søgt at logge på eller prøve passive mode.

> access-list 100 deny icmp any any redirect
> access-list 100 deny udp any any eq 19
> access-list 100 deny tcp any any eq 31 syn
> access-list 100 deny tcp any any eq 41 syn
> access-list 100 deny tcp any any eq 58 syn
> access-list 100 deny tcp any any eq 90 syn
> access-list 100 deny tcp any any eq 121 syn
> access-list 100 deny udp any any eq 135
> access-list 100 deny tcp any any eq 135 syn
> access-list 100 deny udp any any range 136 140
> access-list 100 deny tcp any any range 136 140 syn
> access-list 100 deny tcp any any eq 421 syn
> access-list 100 deny tcp any any eq 456 syn
> access-list 100 deny tcp any any eq 531 syn
> access-list 100 deny tcp any any eq 555 syn
> access-list 100 deny tcp any any eq 911 syn
> access-list 100 deny tcp any any eq 999 syn
> access-list 100 deny udp any any eq 1349
> access-list 100 deny udp any any eq 6838
> access-list 100 deny udp any any eq 8787
> access-list 100 deny udp any any eq 8879
> access-list 100 deny udp any any eq 9325
> access-list 100 deny tcp any any eq 12345 syn
> access-list 100 deny udp any any eq 31335
> access-list 100 deny udp any any eq 31337
> access-list 100 deny udp any any eq 31338
> access-list 100 deny udp any any eq 54320
> access-list 100 deny udp any any eq 54321
> access-list 100 permit ip any any

Hvad ønsker du at opnå med den access-liste? Der er efter min
mening ingen idé i at forsøge at lukke for det man ved er noget
skrammel. Der er meget bedre idé i kun at lukke op for det man
*ved* man har brug for.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Hejsa Asbjorn.
Langt om længe kom dit svar...... :)
Har ventet det en del.
Som du sikkert godt kan se har jeg ikke den vilde forstand på hvad det er
jeg roder med, men det kommer vel med tiden.

>
> [Nå, der var din config]
>
> > interface Ethernet0
> > ip address 192.168.1.1 255.255.255.0
> > ip nat inside
>
> > interface Dialer0
> > ip address negotiated
> > ip access-group 100 in
> > ip nat outside
>
> > ip nat inside source list 1 interface Dialer0 overload
> > ip nat inside source static tcp 192.168.1.75 21 interface Dialer0 65000
> > ip nat inside source static tcp 192.168.1.8 21 interface Dialer0 50000
> > ip nat inside source static 192.168.1.2 213.237.126.108 extendable
>
> Hvad ønsker du at opnå med det? At sende port 65000 til én
> adresse, 50000 til en anden, og at al anden trafik skal til en
> tredje?
Okay de to første er bare mappings til to ftp'er, men den tredje har jeg
lige været ved at læse lidt på.
Betyder den "extendable" at alt bare bliver sendt til denne??
Og hvis man fjerner den hvad sker der så?
Skal man så mappe alle andre porte som man nu engang skal bruge på den ip?

>
> Jeg kan se, at de første to svarer fint, men jeg har ikke for-
> søgt at logge på eller prøve passive mode.
>
> > access-list 100 deny icmp any any redirect
> > access-list 100 deny udp any any eq 19
> > access-list 100 deny tcp any any eq 31 syn
> > access-list 100 deny tcp any any eq 41 syn
> > access-list 100 deny tcp any any eq 58 syn
> > access-list 100 deny tcp any any eq 90 syn
> > access-list 100 deny tcp any any eq 121 syn
> > access-list 100 deny udp any any eq 135
> > access-list 100 deny tcp any any eq 135 syn
> > access-list 100 deny udp any any range 136 140
> > access-list 100 deny tcp any any range 136 140 syn
> > access-list 100 deny tcp any any eq 421 syn
> > access-list 100 deny tcp any any eq 456 syn
> > access-list 100 deny tcp any any eq 531 syn
> > access-list 100 deny tcp any any eq 555 syn
> > access-list 100 deny tcp any any eq 911 syn
> > access-list 100 deny tcp any any eq 999 syn
> > access-list 100 deny udp any any eq 1349
> > access-list 100 deny udp any any eq 6838
> > access-list 100 deny udp any any eq 8787
> > access-list 100 deny udp any any eq 8879
> > access-list 100 deny udp any any eq 9325
> > access-list 100 deny tcp any any eq 12345 syn
> > access-list 100 deny udp any any eq 31335
> > access-list 100 deny udp any any eq 31337
> > access-list 100 deny udp any any eq 31338
> > access-list 100 deny udp any any eq 54320
> > access-list 100 deny udp any any eq 54321
> > access-list 100 permit ip any any
>
> Hvad ønsker du at opnå med den access-liste? Der er efter min
> mening ingen idé i at forsøge at lukke for det man ved er noget
> skrammel. Der er meget bedre idé i kun at lukke op for det man
> *ved* man har brug for.

Jeg vil ingenting med denne access liste jeg *ved* squ knap nok hvordan
access listen fungerer, men det hele der er i den router er noget tiscali
har lavet så jeg ved ikke lige....
Så hvis du lige gider fortælle mig præcist hvad du vil have mig til så ville
jeg blive glad.
Mine ønsker står i tråden: 30-04-2002 14:30

//Rasmus D. Jensen.

---

On Mon, 29 Apr 2002 21:56:01 +0200, "Rasmus D. Jensen."
<iceman@xtreme2000.dk> wrote:

> Jeg må sige at [SOHO77] er en kringlet lille fætter, jeg kan godt få
> portmappings til at virke nu, men men men... mit passive mode på ftp
> virker af en eller anden grund ikke.

Du forsøger at køre FTP mod en server på din inderside, og det
virker kun for standard FTP, ikke for passive mode?

Hvad er din config (sh run)? Og hvilken software (sh ver)?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:

> Hvad er din config (sh run)?


Se trådem fra den "Date: Tue, 30 Apr 2002 00:15:22 +0200"