sslug-teknik team mailing list archive

Thread
Date

Re: cisco 677, hvordan lukkes for telnet

To: sslug-teknik@xxxxxxxx
From: "Kristian Kallenberg" <kale@xxxxxxxxxxxxx>
Date: Sat, 28 Feb 2004 20:01:00 +0100 (CET)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Importance: Normal
In-reply-to: <003801c3fded$ca002730$0200000a@wws01kim>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: SquirrelMail/1.4.3 [CVS]

> Hejsa
>
> Det der er galt er at 677'ern ikke just er så smart som man måske lige
> skulle tro.
> Så når du sætter "filter 0 on" så er der ikke nogen regler til at tillade
> resten, så alt bliver i princippet afvist.
> (har selv fumlet en det med det før de vise sten kom rullende til mig.)
> I øvrigt bør du være opmærksom på at du ikke kan telnette de regler over
> til
> router'en. Jeg ved ikke hvorfor, men den kan bare ikke lide det, og går så
> ganske enkelt kold :-/
> Så fat i det medfølgende mannegment cable (blå kabel ... så vidt jeg
> husker)
>
> I øvrigt så kører min 677'er fint med følgende filtre;
>
> set filter 0 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol icmp
> set filter 1 on deny outgoing wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol icmp
> set filter 2 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol tcp srcport 1-65535 destport 135-139
> set filter 3 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol udp srcport 1-65535 destport 135-139
> set filter 4 on deny outgoing wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol tcp srcport 135-139 destport 1-65535
> set filter 5 on deny outgoing wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol udp srcport 135-139 destport 1-65535
> set filter 6 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol tcp srcport 1-65535 destport 445-445
> set filter 7 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol udp srcport 1-65535 destport 445-445
> set filter 8 on deny outgoing wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol tcp srcport 445-445 destport 1-65535
> set filter 9 on deny outgoing wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol udp srcport 445-445 destport 1-65535
> set filter 10 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> protocol tcp srcport 1-65535 destport 23-23
> set filter 18 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> set filter 19 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
>
> Det er specielt filter 18 og 19 som du nok lige bør kikke lidt på, da jeg
> fornemmer at det er dem du mangler.
>
> M.v.h.
> Kim Hermansen
>
Tak, det gjorde udslaget. Når man skriver et filter ind kan man bruge off
i stedet for on. F.eks:

set filter 10 off deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
protocol tcp srcport 1-65535 destport 23-23
set filter 18 off allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
set filter 19 off allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

og dernæst aktivere dem samtidig:

set filter 10 18 19 on

Så hænger routeren ikke.

Mange tak for hjælpen

/kallenberg

References

cisco 677, hvordan lukkes for telnet
From: Kristian Kallenberg, 2004-02-27
Re: cisco 677, hvordan lukkes for telnet
From: Kim Hermansen, 2004-02-28