On 1/22/08, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > devi immaginare di metterti all'interno del router > quindi l'intf di uscita sara' la dialer0 mentre quelle di entrata le > fa0-3 (vlan1 nel caso dell'877) >
> > Il concetto di base del firewalling e': far uscire tutto (ove previsto) > e negare ogni entrata. > Per cui, le acl vanno filtrate in IN sulla dialer0. > L'inspect serve per ispezionare i pacchetti entranti nella vlan1, ed > aprire, aggiungere in ram > determinate ACL temporanee che permettono le connessioni (per il 3way > handshaking) che poi vengono > eliminate non appena la connessione finisce o va' in timeout. > quindi concettualemente tutto cio che voglio esca dall router creo un access-list 101 la mappo in vlan0 IN e queste sono le regole per far uscire i pc + il router stesso. mettendomi nel router come prospettiva questo è il traffico che entra nella vlan0 proveniente dalla lan invece creo un access-list 105, la mappo in dialer0 IN e queste sono le regole per decidere cosa deve entrare da fuori tipo servizi come: http, ssh ecc ecc... e questo sempre in prospettiva è il traffico dalla wan alla lan che entra dal mio ip pubblico... se le cose stanno così al momento sono completamente errato perchè la mia dialer0 è così: interface Dialer0 description $FW_OUTSIDE$ ip ddns update hostname remoto.mine.nu ip ddns update update_ddns ip address negotiated ip access-group 101 in ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname aliceadsl ppp chap password 7 13041B1B0809052E3828 ppp pap sent-username aliceadsl password 7 094D42001A0016161800 e la mia vlan1 è: interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 192.168.1.1 255.255.255.0 ip inspect My_FW_out in ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 e le access list sono: access-list 1 remark INSIDE_IF=Vlan1 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 permit udp any eq domain any access-list 101 permit tcp any eq domain any access-list 101 remark ACL da Lan --> Internet (dialer0 in) access-list 101 permit tcp any any access-list 101 permit udp any any dialer-list 1 protocol ip permit quindi traducendo quelle che mi hai detto tu... dalla wan entra il traffico nella dialer0, viene filtrato nella acl 101 che permette il mondo. invece nella vlan1 vengono ispezionati i pacchetti che escono dalla lan e vanno nel dialer0 e pacchetti tipo sono definiti da ip inspect tcp max-incomplete host 50 block-time 10 ip inspect name My_FW_out cuseeme timeout 3600 ip inspect name My_FW_out ftp timeout 3600 ip inspect name My_FW_out h323 timeout 3600 ip inspect name My_FW_out icmp timeout 3600 ip inspect name My_FW_out netshow timeout 3600 ip inspect name My_FW_out rcmd timeout 3600 ip inspect name My_FW_out realaudio timeout 3600 ip inspect name My_FW_out rtsp timeout 3600 ip inspect name My_FW_out esmtp timeout 3600 ip inspect name My_FW_out sqlnet timeout 3600 ip inspect name My_FW_out streamworks timeout 3600 ip inspect name My_FW_out tftp timeout 3600 ip inspect name My_FW_out tcp router-traffic timeout 3600 ip inspect name My_FW_out udp timeout 3600 ip inspect name My_FW_out vdolive timeout 3600 ip inspect name My_FW_out dns timeout 3600 ip inspect name My_FW_out ntp timeout 3600 ip inspect name My_FW_out snmp timeout 3600 ip inspect name My_FW_out ssh timeout 3600 ip inspect name My_FW_out appleqtc timeout 3600 quindi direi che il problema sta nel fatto che il dialer0 dovrebbe avere una acl del genere access-list 105 deny any any any (concettualmente) però non capisco il motivo di perchè quando ho aggiunto in questa configurazione la voce all'acceslì-list connessa al dialer0: access-list 101 permit tcp any any access-list 101 permit udp any any il router ha cominciato a pingare fuori e a far funzionare il ddns.... cmq per la cronaca oggi ho sistemato linux e ho provato a fare prove di navigazione ho inolte connesso + computer tutti in wireless e la rete andava... credo che si sia "sminchiato" qualche servizio nel mio windows... e come al solito unica soluzione dovrò formattare windows... grazie intanto della pazienza :D _______________________________________________ Cug mailing list http://www.areanetworking.it/index_docs.php [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
