---

Hej.

Jeg har i et stykke tid haft problemer med at få et NetBIOS filter til
at forhindre uønskede opkald på ISDN.

Jeg har scoret en gammel Cisco 1003 router, og lagt IOS 12.1-7 på den.

De sædvanlige kilder (www.cisco.com og gamle usenetindlæg) er nu
udtømte, så hvis der er nogen der har de vises sten...

Grundkonfigurationen er lavet med Cisco Configmaker og siden tilrettet
manuelt.

Her er konfigurationen:

=======================================

!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname C1003
!
enable password 7 <password>
!
!
!
!
!
ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.xxx.xxx 255.255.255.0
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
compress stac
no cdp enable
!
interface Dialer1
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 30
dialer string xxxxxxxx
dialer hold-queue 10
dialer-group 1
compress stac
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxx
ppp chap password 7 <password>
ppp pap sent-username xxxxxxxx password 7 <password>
!
router rip
version 2
passive-interface Dialer1
network 192.168.xxx.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.xxx.0 0.0.0.255
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ss any
access-list 101 deny tcp any eq 137 any
access-list 101 deny tcp any eq 138 any
access-list 101 deny tcp any eq 139 any
dialer-list 1 protocol ip permit
snmp-server community public RO
!
line con 0
exec-timeout 0 0
password 7 <password>
login
transport input none
line vty 0 4
password 7 <password>
login
!
end

==================================

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hvordan er din access-liste til din dialer?

mvh
Flemming Madsen

"Svend Erik Jensen" <sej@isa.dknet.dk> skrev i en meddelelse
news:ifqoetci281dmuvcj8vvgkj8mid33jnuh9@news.inet.tele.dk...
> Hej.
>
> Jeg har i et stykke tid haft problemer med at få et NetBIOS filter til
> at forhindre uønskede opkald på ISDN.
>
> Jeg har scoret en gammel Cisco 1003 router, og lagt IOS 12.1-7 på den.
>
> De sædvanlige kilder (www.cisco.com og gamle usenetindlæg) er nu
> udtømte, så hvis der er nogen der har de vises sten...
>
> Grundkonfigurationen er lavet med Cisco Configmaker og siden tilrettet
> manuelt.
>
> Her er konfigurationen:
>
> =======================================
>
> !
> version 12.1
> service timestamps debug uptime
> service timestamps log uptime
> service password-encryption
> !
> hostname C1003
> !
> enable password 7 <password>
> !
> !
> !
> !
> !
> ip subnet-zero
> no ip finger
> no ip domain-lookup
> !
> isdn switch-type basic-net3
> !
> !
> !
> interface Ethernet0
> description connected to EthernetLAN
> ip address 192.168.xxx.xxx 255.255.255.0
> ip nat inside
> !
> interface BRI0
> description connected to Internet
> no ip address
> ip nat outside
> encapsulation ppp
> dialer rotary-group 1
> isdn switch-type basic-net3
> compress stac
> no cdp enable
> !
> interface Dialer1
> description connected to Internet
> ip address negotiated
> ip nat outside
> encapsulation ppp
> no ip split-horizon
> dialer in-band
> dialer idle-timeout 30
> dialer string xxxxxxxx
> dialer hold-queue 10
> dialer-group 1
> compress stac
> no cdp enable
> ppp authentication chap pap callin
> ppp chap hostname xxxxxxxx
> ppp chap password 7 <password>
> ppp pap sent-username xxxxxxxx password 7 <password>
> !
> router rip
> version 2
> passive-interface Dialer1
> network 192.168.xxx.0
> no auto-summary
> !
> ip nat inside source list 1 interface Dialer1 overload
> ip classless
> ip route 0.0.0.0 0.0.0.0 Dialer1
> no ip http server
> !
> access-list 1 permit 192.168.xxx.0 0.0.0.255
> access-list 101 deny udp any eq netbios-ns any
> access-list 101 deny udp any eq netbios-dgm any
> access-list 101 deny udp any eq netbios-ss any
> access-list 101 deny tcp any eq 137 any
> access-list 101 deny tcp any eq 138 any
> access-list 101 deny tcp any eq 139 any
> dialer-list 1 protocol ip permit
> snmp-server community public RO
> !
> line con 0
> exec-timeout 0 0
> password 7 <password>
> login
> transport input none
> line vty 0 4
> password 7 <password>
> login
> !
> end
>
> ==================================
>
> --
> Med venlig hilsen / Mes meilleures amitiés / Best regards
> Svend Erik Jensen
> http://www.isa.dknet.dk/~sej/

---

Hej "Flemming Madsen" <fm@mail.dk>

>Hvordan er din access-liste til din dialer?

Var det virkelig nødvendigt at citere alle 110 linier?
Læs venligst http://www.usenet.dk/netikette/quote.html

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Sun, 29 Apr 2001 22:26:04 +0200, Flemming Madsen wrote in
dk.edb.netvaerk <9chtdr$joi$1@news.inet.tele.dk>:

>Hvordan er din access-liste til din dialer?

Det er jo lige det - der var problemet.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend Erik Jensen <sej@isa.dknet.dk>

>Jeg har i et stykke tid haft problemer med at få et NetBIOS filter til
>at forhindre uønskede opkald på ISDN.
>
>Jeg har scoret en gammel Cisco 1003 router, og lagt IOS 12.1-7 på den.
>
>De sædvanlige kilder (www.cisco.com og gamle usenetindlæg) er nu
>udtømte, så hvis der er nogen der har de vises sten...
>
>Grundkonfigurationen er lavet med Cisco Configmaker og siden tilrettet
>manuelt.

Du har lavet en access-liste (101), men du bruger den ikke.

>access-list 1 permit 192.168.xxx.0 0.0.0.255
>access-list 101 deny udp any eq netbios-ns any
>access-list 101 deny udp any eq netbios-dgm any
>access-list 101 deny udp any eq netbios-ss any
>access-list 101 deny tcp any eq 137 any
>access-list 101 deny tcp any eq 138 any
>access-list 101 deny tcp any eq 139 any

Husk en permit any any i bunden.

>dialer-list 1 protocol ip permit

Din dialer-list angiver hvad der må trigge et opkald. Prøv med:

dialer-list 1 protocol ip list 101

>snmp-server community public RO

husk at sætte en access-liste på din SNMP, så det kun er interne hosts
der kan tilgå boksen

snmp-server com public ro <access-lsit>

HTH,

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Sun, 29 Apr 2001 22:29:27 +0200, Lars Kim Lund wrote in
dk.edb.netvaerk <52uoet4a4enuhlahflcsevqvoovuc9l2nl@sunsite.auc.dk>:

>Hej Svend Erik Jensen <sej@isa.dknet.dk>
>
>>Grundkonfigurationen er lavet med Cisco Configmaker og siden tilrettet
>>manuelt.
>
>Du har lavet en access-liste (101), men du bruger den ikke.

Øv, den er ellers pæn...

>Husk en permit any any i bunden.

Det glemte jeg i første omgang, så den ville slet ikke kalde op.

>>dialer-list 1 protocol ip permit
>
>Din dialer-list angiver hvad der må trigge et opkald. Prøv med:
>
>dialer-list 1 protocol ip list 101

Det gjorde udslaget.

>>snmp-server community public RO
>
>husk at sætte en access-liste på din SNMP, så det kun er interne hosts
>der kan tilgå boksen

Jeg har helt disablet SNMP - jeg har ikke noget at bruge det til.

>snmp-server com public ro <access-lsit>
>
>HTH,

Det gjorde det :)

Jeg fandt iøvrigt noget om antispoofing, så det kom med også. Så her er
den tilrettede konfiguration til brug for andre der bruger en Cisco IOS
ISDN router.

==========================================

!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname C1003
!
enable password 7 <password>
!
!
!
!
!
ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.xxx.xxx 255.255.255.0
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
compress stac
no cdp enable
!
interface Dialer1
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 30
dialer string xxxxxxxx
dialer hold-queue 10
dialer-group 1
compress stac
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxx
ppp chap password 7 <password>
ppp pap sent-username xxxxxxxx password 7 <password>
!
router rip
version 2
passive-interface Dialer1
network 192.168.xxx.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.xxx.0 0.0.0.255
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ss any
access-list 101 deny tcp any eq 137 any
access-list 101 deny tcp any eq 138 any
access-list 101 deny tcp any eq 139 any
access-list 101 deny udp any eq netbios-ns any eq domain
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 255.0.0.0 0.255.255.255 any
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
!
line con 0
exec-timeout 0 0
password 7 <password>
login
transport input none
line vty 0 4
password 7 <password>
login
!
end

===================================

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend Erik Jensen <sej@isa.dknet.dk>

>>husk at sætte en access-liste på din SNMP, så det kun er interne hosts
>>der kan tilgå boksen
>
>Jeg har helt disablet SNMP - jeg har ikke noget at bruge det til.

Åh, MRTG er da altid sjovt at lege med ..

>Jeg fandt iøvrigt noget om antispoofing, så det kom med også.

Jeg går ud fra du mener disse linier:

access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 255.0.0.0 0.255.255.255 any

På hvilken måde er det anti-spoofing?

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Mon, 30 Apr 2001 19:12:27 +0200, Lars Kim Lund wrote in
dk.edb.netvaerk <o07rets7mduabnc0gob57h9hd8osu17vos@sunsite.auc.dk>:

>Hej Svend Erik Jensen <sej@isa.dknet.dk>
>
>>Jeg fandt iøvrigt noget om antispoofing, så det kom med også.
>
>Jeg går ud fra du mener disse linier:
>
> access-list 101 deny ip 0.0.0.0 0.255.255.255 any
> access-list 101 deny ip 127.0.0.0 0.255.255.255 any
> access-list 101 deny ip 255.0.0.0 0.255.255.255 any
>
>På hvilken måde er det anti-spoofing?

Suk, det er det forkerte interface. Det skulle være på interface BRI0 og
med et andet access-list nummer med tilsvarende "ip access-group nnn in"
under interface BRI0?

Right - no?

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend Erik Jensen <sej@isa.dknet.dk>

>>På hvilken måde er det anti-spoofing?
>
>Suk, det er det forkerte interface. Det skulle være på interface BRI0 og
>med et andet access-list nummer med tilsvarende "ip access-group nnn in"
>under interface BRI0?
>
>Right - no?

Si, egentlig er det anti-spoof nok blot at sørge for at dine interne
adresser ikke optræder på ydersiden, men du kan uden problemer
filtrere på alle RFC1918 adresser, der ikke må optræde som
source-adresser inbound på BRI-interfacet.

10.0.0.0 0.255.255.255
172.16.0.0 0.15.255.255
192.168.0.0 0.0.255.255

Et andet trick til at opnå lidt højere sikkerhed på er at filtrere på
TCP-SYN's fra ydersiden (f.eks. ved at bruge 'established').

Læs også her: http://www.cisco.com/warp/public/707/21.html

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Mon, 30 Apr 2001 22:55:32 +0200, Lars Kim Lund wrote in
dk.edb.netvaerk <mmjretog6so48n66p7sa10kcoftrnimp38@sunsite.auc.dk>:

[Mere guf]

>Et andet trick til at opnå lidt højere sikkerhed på er at filtrere på
>TCP-SYN's fra ydersiden (f.eks. ved at bruge 'established').
>
>Læs også her: http://www.cisco.com/warp/public/707/21.html

Takker, det kigger jeg på i morgen.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

On Mon, 30 Apr 2001 19:01:50 +0200, Svend Erik Jensen
<sej@isa.dknet.dk> wrote:

> Jeg fandt iøvrigt noget om antispoofing, så det kom med også. Så her er
> den tilrettede konfiguration til brug for andre der bruger en Cisco IOS
> ISDN router.

I så fald burde du også filtrere en masse andre net, der heller
ikke er i praktisk anvendelse Derude(TM). (Fx. private address
space som angivet i RFC1918).

Af andre tip til bedre sikkerhed, kan du måske hente inspiration
her http://www.hojmark.org/networking/cisco-security.txt og her
http://www.cisco.com/warp/public/707/21.html og endelig her
http://www.cymru.com/~robt/Docs/Articles/secure-ios-template.html

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Tue, 01 May 2001 00:27:50 +0200, Asbjorn Hojmark wrote in
dk.edb.netvaerk
<nhpretoir7r5qbrn9onroia2kn49ed5ip5@news.worldonline.dk>:


>Af andre tip til bedre sikkerhed, kan du måske hente inspiration
>her http://www.hojmark.org/networking/cisco-security.txt og her
>http://www.cisco.com/warp/public/707/21.html og endelig her
>http://www.cymru.com/~robt/Docs/Articles/secure-ios-template.html

Tak for henvisningen, der er til et par dage...

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend

"Svend Erik Jensen" <sej@isa.dknet.dk> skrev i en meddelelse news:ifqoetci281dmuvcj8vvgkj8mid33jnuh9@news.inet.tele.dk...
> Jeg har i et stykke tid haft problemer med at få et NetBIOS filter til
> at forhindre uønskede opkald på ISDN.

Da jeg kørte ISDN havde jeg problemer med at at Browse Masteren
initierede opkald hvert 15. minut. Er det også dit problem ?

> access-list 1 permit 192.168.xxx.0 0.0.0.255
> access-list 101 deny udp any eq netbios-ns any
> access-list 101 deny udp any eq netbios-dgm any
> access-list 101 deny udp any eq netbios-ss any
> access-list 101 deny tcp any eq 137 any
> access-list 101 deny tcp any eq 138 any
> access-list 101 deny tcp any eq 139 any

Med hjælp fra Asbjørn Højmark fik jeg det væk med følgende filter:
access-list 101 deny udp any eq 137 any eq 53
(= access-list 101 deny udp any eq netbios-ns any eq domain)

--
Mvh Bjarne Duelund, duelund@danbbs.dk
Opsætning af Win98SE ICS, Fjernstyring med VNC, ADSL Tips m.m.:
<http://www.danbbs.dk/~duelund/pcinfo/>
!-! Remove _X_ from Email address

---

On Sun, 29 Apr 2001 23:08:35 +0200, Bjarne Duelund wrote in
dk.edb.netvaerk <Cp%G6.67092$o4.5963246@news010.worldonline.dk>:


>Da jeg kørte ISDN havde jeg problemer med at at Browse Masteren
>initierede opkald hvert 15. minut. Er det også dit problem ?

Jeg ved det ikke, den var ikke på linien så længe, det var mest NetBIOS
trafik jeg genererede for at teste.

>Med hjælp fra Asbjørn Højmark fik jeg det væk med følgende filter:
> access-list 101 deny udp any eq 137 any eq 53
> (= access-list 101 deny udp any eq netbios-ns any eq domain)

Tak, den er inkluderet i min konfiguration i et andet indlæg i tråden.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend Erik Jensen <sej@isa.dknet.dk>

>>Med hjælp fra Asbjørn Højmark fik jeg det væk med følgende filter:
>> access-list 101 deny udp any eq 137 any eq 53
>> (= access-list 101 deny udp any eq netbios-ns any eq domain)
>
>Tak, den er inkluderet i min konfiguration i et andet indlæg i tråden.

Det er vist nok kun Win2000 der opfører sig på den måde i øvrigt.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej Lars

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse news:5v6ret0f6o89dfg1lcuiem8oh8k3m92qih@sunsite.auc.dk...
>
> >>Med hjælp fra Asbjørn Højmark fik jeg det væk med følgende filter:
> >> access-list 101 deny udp any eq 137 any eq 53
> >> (= access-list 101 deny udp any eq netbios-ns any eq domain)
> >
> >Tak, den er inkluderet i min konfiguration i et andet indlæg i tråden.
>
> Det er vist nok kun Win2000 der opfører sig på den måde i øvrigt.

Nej, jeg havde problemet på et rent Win98SE netværk.
Den Win98 der tilfældigvis var BrowseMaster initierede opkald præcis
hvert 15. minut.

--
Mvh Bjarne Duelund
duelund@danbbs.dk
!-! Remove _X_ from Email address

---

Hej "Bjarne Duelund" <_X_duelund@danbbs.dk>

>Nej, jeg havde problemet på et rent Win98SE netværk.
>Den Win98 der tilfældigvis var BrowseMaster initierede opkald præcis
>hvert 15. minut.

Sorry, my bad - men jeg går ud fra det er fra win-klienter der
resolver netbios via DNS?

--
Lars Kim Lund
http://www.net-faq.dk/

---

Hej Lars

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse news:m0hretccdtdj61brcuscpe3afsbq1g7k1c@sunsite.auc.dk...
>
> >Nej, jeg havde problemet på et rent Win98SE netværk.
> >Den Win98 der tilfældigvis var BrowseMaster initierede opkald præcis
> >hvert 15. minut.
>
> Sorry, my bad - men jeg går ud fra det er fra win-klienter der
> resolver netbios via DNS?

Det er sikkert korrekt.

--
Mvh Bjarne Duelund
duelund@danbbs.dk
!-! Remove _X_ from Email address

---

On Mon, 30 Apr 2001 19:08:35 +0200, Lars Kim Lund wrote in
dk.edb.netvaerk <5v6ret0f6o89dfg1lcuiem8oh8k3m92qih@sunsite.auc.dk>:


>Det er vist nok kun Win2000 der opfører sig på den måde i øvrigt.

Ok.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

On Sun, 29 Apr 2001 21:35:40 +0200, Svend Erik Jensen wrote in
dk.edb.netvaerk <ifqoetci281dmuvcj8vvgkj8mid33jnuh9@news.inet.tele.dk>:

Jeg er nu sluppet af med problemet med uønskede opkald forårsaget af
NetBIOS trafik. Derudover er forslag til forbedringer fra flere
forskellige tilføjet, så resultatet er en konfiguration til en Cisco IOS
ISDN router som er rimelig optimal.

Principielt er sådan en konfiguration aldrig færdig, og der i softwaren
rige muligheder for at lave individuelle tilpasninger.

Brug den enten som den er, eller som et grundlag at bygge videre på.

Tak til alle bidragydere.

================================

!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname C1003
!
enable password 7 xxxxxx
!
!
!
!
!
ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.xxx.xxx 255.255.255.0
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
ip access-group 121 in
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
compress stac
no cdp enable
!
interface Dialer1
description connected to Internet
ip address negotiated
ip nat outside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 30
dialer string xxxxxxxx
dialer hold-queue 10
dialer-group 1
compress stac
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <brugernavn>
ppp chap password 7 <password>
ppp pap sent-username <brugernavn> password 7 <password>
!
no router rip
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.xxx.0 0.0.0.255
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ss any
access-list 101 deny tcp any eq 137 any
access-list 101 deny tcp any eq 138 any
access-list 101 deny tcp any eq 139 any
access-list 101 deny udp any eq netbios-ns any eq domain
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 255.0.0.0 0.255.255.255 any
access-list 101 permit ip any any
access-list 121 deny icmp any any redirect
access-list 121 deny ip 0.0.0.0 0.255.255.255 any
access-list 121 deny ip 127.0.0.0 0.255.255.255 any
access-list 121 deny ip 255.0.0.0 0.255.255.255 any
access-list 121 deny ip 10.0.0.0 0.255.255.255 any
access-list 121 deny ip 172.16.0.0 0.15.255.255 any
access-list 121 deny ip 192.168.0.0 0.0.255.255 any
access-list 121 deny ip 224.0.0.0 31.255.255.255 any
access-list 121 deny ip host 0.0.0.0 any
dialer-list 1 protocol ip list 101
!
line con 0
exec-timeout 0 0
password 7 xxxxxx
login
transport input none
line vty 0 4
password 7 xxxxxx
login
!
end

===============================

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

Hej Svend Erik Jensen <sej@isa.dknet.dk>

>Brug den enten som den er, eller som et grundlag at bygge videre på.

Usenet er flygtigt - du kan evt. smide det på din webside.

Nu vi taler om dial-configs så kan jeg også lige nævne (for de, der
ikke kender dem) Asbjørns eksempler.

http://www.hojmark.org/x/cisco803.txt
http://www.hojmark.org/x/dual-nat.txt

Samt at der findes en del sample configs på cisco.com her:
http://www.cisco.com/public/technotes/serv_tips.shtml

og specifikt for access-dial:
http://www.cisco.com/warp/public/471/

FYI,

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Wed, 02 May 2001 22:12:55 +0200, Lars Kim Lund wrote in
dk.edb.netvaerk <i8q0ft852mfol0pfaikh6la5f9dn0d0c69@sunsite.auc.dk>:

>Hej Svend Erik Jensen <sej@isa.dknet.dk>
>
>>Brug den enten som den er, eller som et grundlag at bygge videre på.
>
>Usenet er flygtigt - du kan evt. smide det på din webside.

Der kommer den også op sammen med lidt andet routerguf.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

On Wed, 02 May 2001 21:45:19 +0200, Svend Erik Jensen
<sej@isa.dknet.dk> wrote:

> interface BRI0
> no ip address
> ip access-group 121 in

Hvis det virker, er det basalt set en fejl. Husk, som tommel-
fingerregel, at man skal have access-listen på det interface, der
har IP-adressen.

> access-list 121 deny icmp any any redirect
> access-list 121 deny ip 0.0.0.0 0.255.255.255 any
> access-list 121 deny ip 127.0.0.0 0.255.255.255 any
> access-list 121 deny ip 255.0.0.0 0.255.255.255 any
> access-list 121 deny ip 10.0.0.0 0.255.255.255 any
> access-list 121 deny ip 172.16.0.0 0.15.255.255 any
> access-list 121 deny ip 192.168.0.0 0.0.255.255 any
> access-list 121 deny ip 224.0.0.0 31.255.255.255 any
> access-list 121 deny ip host 0.0.0.0 any

Den access-liste vil effektivt slå al IP ihjæl -- Det er også
tegn på, at du ikke har apply'et den til det rigtige interface --
for der er i en access-liste en implicit 'deny any any' til
sidst.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

On Wed, 02 May 2001 23:54:51 +0200, Asbjorn Hojmark wrote in
dk.edb.netvaerk
<k301ft4jij0cfd1ai7svn03ss5evlmug2e@news.worldonline.dk>:

>On Wed, 02 May 2001 21:45:19 +0200, Svend Erik Jensen
><sej@isa.dknet.dk> wrote:
>
>> interface BRI0
>> no ip address
>> ip access-group 121 in
>
>Hvis det virker, er det basalt set en fejl. Husk, som tommel-
>fingerregel, at man skal have access-listen på det interface, der
>har IP-adressen.

Oh, jeg troede det skulle være på den fysiske interface. Den interface
der bliver tildelt adressen, er interface Dialer1, så det må se sådan
ud:

interface Dialer1
ip access-group 121 in
o.s.v.

[access-list 121]

>> access-list 121 deny ip host 0.0.0.0 any
>
>Den access-liste vil effektivt slå al IP ihjæl -- Det er også
>tegn på, at du ikke har apply'et den til det rigtige interface --
>for der er i en access-liste en implicit 'deny any any' til
>sidst.

Altså:

access-list 121 .........
access-list 121 deny ip host 0.0.0.0 any
access-list 121 permit ip any any
!

Jeg regner med det menes sådan...

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/

---

On Wed, 02 May 2001 21:45:19 +0200, Svend Erik Jensen wrote in
dk.edb.netvaerk <0bo0fto1j913hfietp0evj1g1rou3gbgrp@news.inet.tele.dk>:

>On Sun, 29 Apr 2001 21:35:40 +0200, Svend Erik Jensen wrote in
>dk.edb.netvaerk <ifqoetci281dmuvcj8vvgkj8mid33jnuh9@news.inet.tele.dk>:
>
>Jeg er nu sluppet af med problemet med uønskede opkald forårsaget af
>NetBIOS trafik. Derudover er forslag til forbedringer fra flere
>forskellige tilføjet, så resultatet er en konfiguration til en Cisco IOS
>ISDN router som er rimelig optimal.
>
>Principielt er sådan en konfiguration aldrig færdig, og der i softwaren
>rige muligheder for at lave individuelle tilpasninger.
>
>Brug den enten som den er, eller som et grundlag at bygge videre på.
>
>Tak til alle bidragydere.

Sådan skrev jeg den gang, men Asbjørn gjorde mig opmærksom på at jeg
havde bundet access liste 121 til den forkerte interface.

Konfigurationen er nu rettet, og ser sådan ud:

================================

!
version 12.1
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname C1003
!
enable password 7 xxxxxx
!
!
!
!
!
ip subnet-zero
no ip finger
no ip domain-lookup
!
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.xxx.xxx 255.255.255.0
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
compress stac
no cdp enable
!
interface Dialer1
description connected to Internet
ip address negotiated
ip nat outside
ip access-group 121 in
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 30
dialer string xxxxxxxx
dialer hold-queue 10
dialer-group 1
compress stac
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <brugernavn>
ppp chap password 7 <password>
ppp pap sent-username <brugernavn> password 7 <password>
!
no router rip
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
access-list 1 permit 192.168.46.0 0.0.0.255
access-list 101 deny udp any eq netbios-ns any
access-list 101 deny udp any eq netbios-dgm any
access-list 101 deny udp any eq netbios-ss any
access-list 101 deny tcp any eq 137 any
access-list 101 deny tcp any eq 138 any
access-list 101 deny tcp any eq 139 any
access-list 101 deny udp any eq netbios-ns any eq domain
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 255.0.0.0 0.255.255.255 any
access-list 101 permit ip any any
access-list 121 deny icmp any any redirect
access-list 121 deny ip 0.0.0.0 0.255.255.255 any
access-list 121 deny ip 127.0.0.0 0.255.255.255 any
access-list 121 deny ip 255.0.0.0 0.255.255.255 any
access-list 121 deny ip 10.0.0.0 0.255.255.255 any
access-list 121 deny ip 172.16.0.0 0.15.255.255 any
access-list 121 deny ip 192.168.0.0 0.0.255.255 any
access-list 121 deny ip 224.0.0.0 31.255.255.255 any
access-list 121 deny ip host 0.0.0.0 any
access-list 121 permit ip any any
dialer-list 1 protocol ip list 101
!
line con 0
exec-timeout 0 0
password 7 xxxxxx
login
transport input none
line vty 0 4
password 7 xxxxxx
login
!
end

================================

Jeg har testet en del på routeren, og havde den med i sommerhus i
weekenden. I sommerhuset står i forvejen en zyxel P100IH som også
"trækker" min analoge telefon. Det betyder at Zyxelen er tændt hele
tiden når vi er der.

Det skulle ikke betyde noget, da jeg i min bærbare angav Ciscoens IP
adresse som default gateway - troede jeg.

Det kørte fint i starten, men efter et stykke tid begyndte Zyxel
routeren at tage sig af trafikken, og Ciscoen stod bare og lavede
ingenting.

Det undrede mig en del, indtil jeg i en DOS prompt i den bærbare (win95)
skrev: ROUTE PRINT * for at se hvilke router win95 havde ud af huset.
Der viste det sig at den helst ville bruge Zyxel routeren. Hvorfor nu
det?

Jeg havde i Ciscoen slået routing protokollen RIP fra med: no router
rip, så den ikke annoncerede sin route på lokalnettet hvert 30 sekund,
men det gjorde Zyxelen. Da jeg slog Zyxelens rip fra, og slettede win95
kendskab til den, kørte jeg over Ciscoen igen.

For mere om win9x route kommando: I en DOS prompt skrives: route /? så
får man alle options.

Formålet med Ciscoen contra Zyxel var også at teste effektiviteten af
stac komprimeringen, da Zyxel tilsyneladende har nogle problemer med sin
implementation af denne. Jeg prøvede på flere forskellige "lokale"
websider (opasia.dk, dr.dk og jubii.dk) hvortil der er god forbindelse.
Jeg kunne dog ikke konkludrer nogen særlig forskel mellem de to routere,
begge kørte fint og som man kan forvente af en 64 Kbit kanal.

--
Med venlig hilsen / Mes meilleures amitiés / Best regards
Svend Erik Jensen
http://www.isa.dknet.dk/~sej/