/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Konfiguration af Cisco SOHO 77
Fra : Ulrik Pedersen


Dato : 27-06-02 07:54

Hej



Har et lille problem med konfigurationen af min Cisco SOHO 77 router.
Scenariet er som følger:



Cisco SOHO 77 version 12.1

WEB-server 10.0.0.2

Andre maskiner DHCP 10.0.0.10 ->



WEB-serveren kører samtidig MySql, der kun skal accesses direkte indefra.

Opdagede til min skræk, at der var ret åbent(MySql, DameWare Mini Remote
Control) for adgang til serveren udefra. Det eneste jeg ønsker der skal være
adgang til udefra er port 80.

Jeg har prøvet at ændre på access-list 100 (access-list 100 deny udp any
any range startport slutport). Deny på alt andet end port 80 både udp og
tcp. Så kunne mine andre maskiner ikke tilgå internettet. Det var jo ikke
meningen.



Håber det er nogenlunde forståeligt. Jeg vedlægger uddrag af
konfigurationen.



Er der ikke nogen, der har nogle guldkorn?





På forhånd tak



Ulrik Pedersen







interface Loopback0

no ip address

!

interface Ethernet0

ip address 10.0.0.1 255.255.255.0

ip nat inside

no keepalive

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 0/35

encapsulation aal5mux ppp dialer

dialer pool-member 1

!

dsl operating-mode ansi-dmt

!

interface Dialer0

ip address negotiated

ip access-group 100 in

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication pap callin

ppp pap sent-username *********************

!

ip nat inside source list 1 interface Dialer0 overload

ip nat inside source static 10.0.0.2 "Ekstern IP" extendable

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer0

no ip http server

!

access-list 1 permit 10.0.0.0 0.0.0.255

access-list 100 deny icmp any any redirect

access-list 100 deny udp any any eq 19

access-list 100 deny tcp any any eq 31 syn

access-list 100 deny tcp any any eq 41 syn

access-list 100 deny tcp any any eq 58 syn

access-list 100 deny tcp any any eq 90 syn

access-list 100 deny tcp any any eq 121 syn

access-list 100 deny udp any any eq 135

access-list 100 deny tcp any any eq 135 syn

access-list 100 deny udp any any range 136 140

access-list 100 deny tcp any any range 136 140 syn

access-list 100 deny tcp any any eq 421 syn

access-list 100 deny tcp any any eq 456 syn

access-list 100 deny tcp any any eq 531 syn

access-list 100 deny tcp any any eq 555 syn

access-list 100 deny tcp any any eq 911 syn

access-list 100 deny tcp any any eq 999 syn

access-list 100 deny udp any any eq 1349

access-list 100 deny udp any any eq 6838

access-list 100 deny udp any any eq 8787

access-list 100 deny udp any any eq 8879

access-list 100 deny udp any any eq 9325

access-list 100 deny tcp any any eq 12345 syn

access-list 100 deny udp any any eq 31335

access-list 100 deny udp any any eq 31337

access-list 100 deny udp any any eq 31338

access-list 100 deny udp any any eq 54320

access-list 100 deny udp any any eq 54321

access-list 100 permit ip any any

dialer-list 1 protocol ip permit

!




 
 
Martin Bilgrav (30-06-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 30-06-02 17:23

Giv din server en IP hvor alt IKKE bliver forwardet til, som det er nu
bliver alt ukendt trafik jo forwardet til 10.0.0.2
Det er lidt uhensigtsmessigt. Giv serveren fx 10.0.0.3 og opret en NAT entry
til port 80, således er det kun www der er tilladt.

HTH
Martin Bilgrav

"Ulrik Pedersen" <ukp@traceroute.dk> wrote in message
news:afecpu$kno$1@sunsite.dk...
> Hej
>
>
>
> Har et lille problem med konfigurationen af min Cisco SOHO 77 router.
> Scenariet er som følger:
>
>
>
> Cisco SOHO 77 version 12.1
>
> WEB-server 10.0.0.2
>
> Andre maskiner DHCP 10.0.0.10 ->
>
>
>
> WEB-serveren kører samtidig MySql, der kun skal accesses direkte indefra.
>
> Opdagede til min skræk, at der var ret åbent(MySql, DameWare Mini Remote
> Control) for adgang til serveren udefra. Det eneste jeg ønsker der skal
være
> adgang til udefra er port 80.
>
> Jeg har prøvet at ændre på access-list 100 (access-list 100 deny udp any
> any range startport slutport). Deny på alt andet end port 80 både udp og
> tcp. Så kunne mine andre maskiner ikke tilgå internettet. Det var jo ikke
> meningen.
>
>
>
> Håber det er nogenlunde forståeligt. Jeg vedlægger uddrag af
> konfigurationen.
>
>
>
> Er der ikke nogen, der har nogle guldkorn?
>
>
>
>
>
> På forhånd tak
>
>
>
> Ulrik Pedersen
>
>
>
>
>
>
>
> interface Loopback0
>
> no ip address
>
> !
>
> interface Ethernet0
>
> ip address 10.0.0.1 255.255.255.0
>
> ip nat inside
>
> no keepalive
>
> !
>
> interface ATM0
>
> no ip address
>
> no atm ilmi-keepalive
>
> pvc 0/35
>
> encapsulation aal5mux ppp dialer
>
> dialer pool-member 1
>
> !
>
> dsl operating-mode ansi-dmt
>
> !
>
> interface Dialer0
>
> ip address negotiated
>
> ip access-group 100 in
>
> ip nat outside
>
> encapsulation ppp
>
> dialer pool 1
>
> dialer-group 1
>
> ppp authentication pap callin
>
> ppp pap sent-username *********************
>
> !
>
> ip nat inside source list 1 interface Dialer0 overload
>
> ip nat inside source static 10.0.0.2 "Ekstern IP" extendable
>
> ip classless
>
> ip route 0.0.0.0 0.0.0.0 Dialer0
>
> no ip http server
>
> !
>
> access-list 1 permit 10.0.0.0 0.0.0.255
>
> access-list 100 deny icmp any any redirect
>
> access-list 100 deny udp any any eq 19
>
> access-list 100 deny tcp any any eq 31 syn
>
> access-list 100 deny tcp any any eq 41 syn
>
> access-list 100 deny tcp any any eq 58 syn
>
> access-list 100 deny tcp any any eq 90 syn
>
> access-list 100 deny tcp any any eq 121 syn
>
> access-list 100 deny udp any any eq 135
>
> access-list 100 deny tcp any any eq 135 syn
>
> access-list 100 deny udp any any range 136 140
>
> access-list 100 deny tcp any any range 136 140 syn
>
> access-list 100 deny tcp any any eq 421 syn
>
> access-list 100 deny tcp any any eq 456 syn
>
> access-list 100 deny tcp any any eq 531 syn
>
> access-list 100 deny tcp any any eq 555 syn
>
> access-list 100 deny tcp any any eq 911 syn
>
> access-list 100 deny tcp any any eq 999 syn
>
> access-list 100 deny udp any any eq 1349
>
> access-list 100 deny udp any any eq 6838
>
> access-list 100 deny udp any any eq 8787
>
> access-list 100 deny udp any any eq 8879
>
> access-list 100 deny udp any any eq 9325
>
> access-list 100 deny tcp any any eq 12345 syn
>
> access-list 100 deny udp any any eq 31335
>
> access-list 100 deny udp any any eq 31337
>
> access-list 100 deny udp any any eq 31338
>
> access-list 100 deny udp any any eq 54320
>
> access-list 100 deny udp any any eq 54321
>
> access-list 100 permit ip any any
>
> dialer-list 1 protocol ip permit
>
> !
>
>
>



Ulrik Pedersen (01-07-2002)
Kommentar
Fra : Ulrik Pedersen


Dato : 01-07-02 08:35

Hej

Selvfølgelig. Det virker perfekt nu. 1000 tak for hjælpen.

/Ulrik

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> skrev i en meddelelse
news:FeGT8.99735$N46.2525893@news010.worldonline.dk...
> Giv din server en IP hvor alt IKKE bliver forwardet til, som det er nu
> bliver alt ukendt trafik jo forwardet til 10.0.0.2
> Det er lidt uhensigtsmessigt. Giv serveren fx 10.0.0.3 og opret en NAT
entry
> til port 80, således er det kun www der er tilladt.
>
> HTH
> Martin Bilgrav
>
> "Ulrik Pedersen" <ukp@traceroute.dk> wrote in message
> news:afecpu$kno$1@sunsite.dk...
> > Hej
> >
> >
> >
> > Har et lille problem med konfigurationen af min Cisco SOHO 77 router.
> > Scenariet er som følger:
> >
> >
> >
> > Cisco SOHO 77 version 12.1
> >
> > WEB-server 10.0.0.2
> >
> > Andre maskiner DHCP 10.0.0.10 ->
> >
> >
> >
> > WEB-serveren kører samtidig MySql, der kun skal accesses direkte
indefra.
> >
> > Opdagede til min skræk, at der var ret åbent(MySql, DameWare Mini Remote
> > Control) for adgang til serveren udefra. Det eneste jeg ønsker der skal
> være
> > adgang til udefra er port 80.
> >
> > Jeg har prøvet at ændre på access-list 100 (access-list 100 deny udp
any
> > any range startport slutport). Deny på alt andet end port 80 både udp og
> > tcp. Så kunne mine andre maskiner ikke tilgå internettet. Det var jo
ikke
> > meningen.
> >
> >
> >
> > Håber det er nogenlunde forståeligt. Jeg vedlægger uddrag af
> > konfigurationen.
> >
> >
> >
> > Er der ikke nogen, der har nogle guldkorn?
> >
> >
> >
> >
> >
> > På forhånd tak
> >
> >
> >
> > Ulrik Pedersen
> >
> >
> >
> >
> >
> >
> >
> > interface Loopback0
> >
> > no ip address
> >
> > !
> >
> > interface Ethernet0
> >
> > ip address 10.0.0.1 255.255.255.0
> >
> > ip nat inside
> >
> > no keepalive
> >
> > !
> >
> > interface ATM0
> >
> > no ip address
> >
> > no atm ilmi-keepalive
> >
> > pvc 0/35
> >
> > encapsulation aal5mux ppp dialer
> >
> > dialer pool-member 1
> >
> > !
> >
> > dsl operating-mode ansi-dmt
> >
> > !
> >
> > interface Dialer0
> >
> > ip address negotiated
> >
> > ip access-group 100 in
> >
> > ip nat outside
> >
> > encapsulation ppp
> >
> > dialer pool 1
> >
> > dialer-group 1
> >
> > ppp authentication pap callin
> >
> > ppp pap sent-username *********************
> >
> > !
> >
> > ip nat inside source list 1 interface Dialer0 overload
> >
> > ip nat inside source static 10.0.0.2 "Ekstern IP" extendable
> >
> > ip classless
> >
> > ip route 0.0.0.0 0.0.0.0 Dialer0
> >
> > no ip http server
> >
> > !
> >
> > access-list 1 permit 10.0.0.0 0.0.0.255
> >
> > access-list 100 deny icmp any any redirect
> >
> > access-list 100 deny udp any any eq 19
> >
> > access-list 100 deny tcp any any eq 31 syn
> >
> > access-list 100 deny tcp any any eq 41 syn
> >
> > access-list 100 deny tcp any any eq 58 syn
> >
> > access-list 100 deny tcp any any eq 90 syn
> >
> > access-list 100 deny tcp any any eq 121 syn
> >
> > access-list 100 deny udp any any eq 135
> >
> > access-list 100 deny tcp any any eq 135 syn
> >
> > access-list 100 deny udp any any range 136 140
> >
> > access-list 100 deny tcp any any range 136 140 syn
> >
> > access-list 100 deny tcp any any eq 421 syn
> >
> > access-list 100 deny tcp any any eq 456 syn
> >
> > access-list 100 deny tcp any any eq 531 syn
> >
> > access-list 100 deny tcp any any eq 555 syn
> >
> > access-list 100 deny tcp any any eq 911 syn
> >
> > access-list 100 deny tcp any any eq 999 syn
> >
> > access-list 100 deny udp any any eq 1349
> >
> > access-list 100 deny udp any any eq 6838
> >
> > access-list 100 deny udp any any eq 8787
> >
> > access-list 100 deny udp any any eq 8879
> >
> > access-list 100 deny udp any any eq 9325
> >
> > access-list 100 deny tcp any any eq 12345 syn
> >
> > access-list 100 deny udp any any eq 31335
> >
> > access-list 100 deny udp any any eq 31337
> >
> > access-list 100 deny udp any any eq 31338
> >
> > access-list 100 deny udp any any eq 54320
> >
> > access-list 100 deny udp any any eq 54321
> >
> > access-list 100 permit ip any any
> >
> > dialer-list 1 protocol ip permit
> >
> > !
> >
> >
> >
>
>



Søg
Reklame
Statistik
Spørgsmål : 177556
Tips : 31968
Nyheder : 719565
Indlæg : 6408865
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste