---

Hejsa

Jeg har prøvet at filtrere port 445 i min Cisco SOHO 77 med følgende linier;

access-list 100 deny tcp any any eq 445
access-list 100 deny udp any any eq 445

Men det ser stadig ud som om den er åben ved en portscanning...

Kan nogen hjælpe med dette?

/Bent


--
Jeg synes Internettet er sjovt.....jeg vil ha' Internettet med hjem!

---

On Sat, 6 Dec 2003 19:51:10 +0100, "Bent Sørensen"
<bbsoerensen-delete@this-hotmail.com> wrote:

> Jeg har prøvet at filtrere port 445 i min Cisco SOHO 77

Hvorfor vil du specifikt filtrere det fra?

Når du kører NAT, er det per default lukket for alt det, der ikke
er åbent for, så hvis du har brug for at lukke for det, må det
være fordi, du har åbnet for alt.

En bedre strategi er kun at åbne for det, du har brug for.

> med følgende linier;
>
> access-list 100 deny tcp any any eq 445
> access-list 100 deny udp any any eq 445

For det første mangler der noget permit i den ACL, for der er en
implicit deny any any til sidst i enhver ACL.

Hvilket interface har du lagt ACLen på, og har du gjort det som
incoming eller outgoinging.

> Men det ser stadig ud som om den er åben ved en portscanning...

Hvordan ser du det? Hvad scanner du med?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Bent Sørensen" <bbsoerensen-delete@this-hotmail.com> wrote in message
news:yypAb.53786$jf4.2961246@news000.worldonline.dk...
> Hejsa
>
> Jeg har prøvet at filtrere port 445 i min Cisco SOHO 77 med følgende
linier;
>
> access-list 100 deny tcp any any eq 445
> access-list 100 deny udp any any eq 445
>
> Men det ser stadig ud som om den er åben ved en portscanning...
>
> Kan nogen hjælpe med dette?
>


Hvor har du tilknyttet ACL ? (på hvilket interface og hvilken retning ?)
Håber du også har en permit ip any any...

Mvh
Martin Bilgrav



> /Bent
>
>
> --
> Jeg synes Internettet er sjovt.....jeg vil ha' Internettet med hjem!
>
>

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:9GrAb.53938$jf4.2975496@news000.worldonline.dk...
>
> "Bent Sørensen" <bbsoerensen-delete@this-hotmail.com> wrote in message
> news:yypAb.53786$jf4.2961246@news000.worldonline.dk...
> > Hejsa
> >
> > Jeg har prøvet at filtrere port 445 i min Cisco SOHO 77 med følgende
> linier;
> >
> > access-list 100 deny tcp any any eq 445
> > access-list 100 deny udp any any eq 445
> >
> > Men det ser stadig ud som om den er åben ved en portscanning...
> >
> > Kan nogen hjælpe med dette?
> >
>
>
> Hvor har du tilknyttet ACL ? (på hvilket interface og hvilken retning ?)
> Håber du også har en permit ip any any...
>
> Mvh
> Martin Bilgrav
>

Jeg havde lavet de nye entries efter permit ip any any på interface dialer0
og i access-group 100 in. Og det var ikke så smart. Jeg er virkelig
nybegynder her, men synes det er spændende at rode med.

Routeren kommer fra Tiscalis side med følgende access-list:

access-list 100 deny icmp any any redirect
access-list 100 deny udp any any eq 19
access-list 100 deny tcp any any eq 31 syn
access-list 100 deny tcp any any eq 41 syn
access-list 100 deny tcp any any eq 58 syn
access-list 100 deny tcp any any eq 90 syn
access-list 100 deny tcp any any eq 121 syn
access-list 100 deny udp any any eq 135
access-list 100 deny tcp any any eq 135 syn
access-list 100 deny udp any any range 136 140
access-list 100 deny tcp any any range 136 140 syn
access-list 100 deny tcp any any eq 421 syn
access-list 100 deny tcp any any eq 456 syn
access-list 100 deny tcp any any eq 531 syn
access-list 100 deny tcp any any eq 555 syn
access-list 100 deny tcp any any eq 911 syn
access-list 100 deny tcp any any eq 999 syn
access-list 100 deny udp any any eq 1349
access-list 100 deny udp any any eq 6838
access-list 100 deny udp any any eq 8787
access-list 100 deny udp any any eq 8879
access-list 100 deny udp any any eq 9325
access-list 100 deny tcp any any eq 12345 syn
access-list 100 deny udp any any eq 31335
access-list 100 deny udp any any eq 31337
access-list 100 deny udp any any eq 31338
access-list 100 deny udp any any eq 54320
access-list 100 deny udp any any eq 54321
access-list 100 permit ip any any

Når Asbjørn H. skriver at der er "default lukket for alt det, der ikke
er åbent for"...er det så sådan at der er åbnet for alt andet end det der er
defineret i ovenstående access-list?

Jo, Asbjørn jeg vil naturligvis gerne have lukket for alt, så jeg kan åbne
for det som er relevant for mig....

Kan man kun have en access-list aktiv? Altså, hvis jeg laver en access-list
efter 100, vil det så kun være den nye som er gældende?

På forhånd tak....og håber ikke at jeg stiller alt for tåbelige
spørgsmål....

/Bent

---

On Sun, 7 Dec 2003 23:22:56 +0100, "Bent Sørensen"
<bbsoerensen-delete@this-hotmail.com> wrote:

> Jeg havde lavet de nye entries efter permit ip any any på interface
> dialer0 og i access-group 100 in. Og det var ikke så smart.

Nej, det vil ikke virke, for ACLen læses oppefra, og så snart
routeren møder et entry, der matcher trafikken, ser den ikke
længere ned i ACLen.

Så hvis du har en permit ip any any og derefter noget deny, så
vil dit deny aldrig blive evalueret.

> Når Asbjørn H. skriver at der er "default lukket for alt det,
> der ikke er åbent for"...

Ja, i NAT: Routeren sender ikke trafik ind til din pc, hvis der
ikke er lavet et (dynamisk eller statisk) NAT-entry, der slipper
det ind.

> er det så sådan at der er åbnet for alt andet end det der er
> defineret i ovenstående access-list?

Din ACL slutter med permit ip any any, så alt det, der ikke står
ovenover med deny er der lukket for i ACLen. Men selvom der er
åbent for port 6666 i din ACL, så betyder det ikke, at routeren
vil sende det ind til din pc, for den vil (normalt) ikke have en
NAT-entry for det.

> Kan man kun have en access-list aktiv?

Man kan have en incoming og en outgoing ACL aktiv på et
interface. Men altså ikke mere end en af hver.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:60c7tvkplkjs9enbltdpml8mr1b0mha9fd@news.cybercity.dk...
> On Sun, 7 Dec 2003 23:22:56 +0100, "Bent Sørensen"
> <bbsoerensen-delete@this-hotmail.com> wrote:
>
> > Jeg havde lavet de nye entries efter permit ip any any på interface
> > dialer0 og i access-group 100 in. Og det var ikke så smart.
>
> Nej, det vil ikke virke, for ACLen læses oppefra, og så snart
> routeren møder et entry, der matcher trafikken, ser den ikke
> længere ned i ACLen.
>
> Så hvis du har en permit ip any any og derefter noget deny, så
> vil dit deny aldrig blive evalueret.

OK, tak Det fandt jeg langsomt ud af...


>
> > Når Asbjørn H. skriver at der er "default lukket for alt det,
> > der ikke er åbent for"...
>
> Ja, i NAT: Routeren sender ikke trafik ind til din pc, hvis der
> ikke er lavet et (dynamisk eller statisk) NAT-entry, der slipper
> det ind.

Hvordan kan jeg se hvad der er lavet af statiske og dynamiske Nat-entries?
Jeg har prøvet at skrive "sh ip nat trans" og så får jeg en hulens masse
"output"....jeg går ud fra at det er dynamiske entries...

Jeg vil meget gerne have lukket den her router helt ned så jeg har styr på
hvad der er åbent og hvad der ikke er åbent....

Og tak for svarene iøvrigt

/Bent

---

On Mon, 8 Dec 2003 00:33:06 +0100, "Bent Sørensen"
<bbsoerensen-delete@this-hotmail.com> wrote:

> Hvordan kan jeg se hvad der er lavet af statiske og dynamiske Nat-entries?
> Jeg har prøvet at skrive "sh ip nat trans" og så får jeg en hulens masse
> "output"....jeg går ud fra at det er dynamiske entries...

'sh ip nat trans' er det rigtige.

> Jeg vil meget gerne have lukket den her router helt ned så jeg har styr på
> hvad der er åbent og hvad der ikke er åbent....

Kort (og lettere simplificeret) sagt: Hvis din pc beder om at få
en forbindelse fra port X til port Y, vil routeren tillade, at
der kommer trafik tilbage fra port Y til port X. Ellers vil den
blokkere det pga. NAT.

Eller endnu kortere: Du behøver ikke gøre noget for at lukke for
port 445.

.... *Med mindre* du har åbnet for det i NAT med en statement som
'ip nat inside source static <intern> <extern>', og det er SVJH
ikke default i en Tiscali-konfiguration.

Hvis du ser på output af 'sh ip nat trans | inc ---', vil du
sikkert se, at routerens port 23 er map'et til 23000, og det er
det.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:o9f7tv0rnp5njnjl4l9b5ic88lakd8cga0@news.cybercity.dk...
> On Mon, 8 Dec 2003 00:33:06 +0100, "Bent Sørensen"
> <bbsoerensen-delete@this-hotmail.com> wrote:
>
> > Hvordan kan jeg se hvad der er lavet af statiske og dynamiske
Nat-entries?
> > Jeg har prøvet at skrive "sh ip nat trans" og så får jeg en hulens masse
> > "output"....jeg går ud fra at det er dynamiske entries...
>
> 'sh ip nat trans' er det rigtige.
>
> > Jeg vil meget gerne have lukket den her router helt ned så jeg har styr
på
> > hvad der er åbent og hvad der ikke er åbent....
>
> Kort (og lettere simplificeret) sagt: Hvis din pc beder om at få
> en forbindelse fra port X til port Y, vil routeren tillade, at
> der kommer trafik tilbage fra port Y til port X. Ellers vil den
> blokkere det pga. NAT.
>
> Eller endnu kortere: Du behøver ikke gøre noget for at lukke for
> port 445.

Men hvis jeg fx. får www.secunia.dk til at scanne min IP, stod port 445 (og
en del andre) som åben...altså man kunne se min Domain SID og dermed
brugere o.a. Det er ikke så fedt synes jeg, så det ville jeg have væk.

Derfor lavede jeg access-list'en om og nu optræder 445 ikke længere som åben
ved scanning...


>
> ... *Med mindre* du har åbnet for det i NAT med en statement som
> 'ip nat inside source static <intern> <extern>', og det er SVJH
> ikke default i en Tiscali-konfiguration.

Nej, jeg har ikke lavet nogle statements i NAT

>
> Hvis du ser på output af 'sh ip nat trans | inc ---', vil du
> sikkert se, at routerens port 23 er map'et til 23000, og det er
> det.

Jeg går udfra at routeren skal bootes for at fjerne de dynamiske entries?
eller kan man "flushe" den?

/Bent

---

On Mon, 8 Dec 2003 01:10:52 +0100, "Bent Sørensen"
<bbsoerensen-delete@this-hotmail.com> wrote:

> Men hvis jeg fx. får www.secunia.dk til at scanne min IP, stod port
> 445 (og en del andre) som åben...altså man kunne se min Domain SID
> og dermed brugere o.a. Det er ikke så fedt synes jeg, så det ville
> jeg have væk.

Vi er nået dertil, hvor det ikke er muligt at sige noget
fornuftigt om, hvad der sker uden at se din config.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:hmg7tvg2na8aclophdm5l0m5tcb975frou@news.cybercity.dk...
> On Mon, 8 Dec 2003 01:10:52 +0100, "Bent Sørensen"
> <bbsoerensen-delete@this-hotmail.com> wrote:
>
> > Men hvis jeg fx. får www.secunia.dk til at scanne min IP, stod port
> > 445 (og en del andre) som åben...altså man kunne se min Domain SID
> > og dermed brugere o.a. Det er ikke så fedt synes jeg, så det ville
> > jeg have væk.
>
> Vi er nået dertil, hvor det ikke er muligt at sige noget
> fornuftigt om, hvad der sker uden at se din config.
>
OK, men jeg har ikke specielt meget lyst til at poste min config
her....altså..

Jeg tror jeg må tilegne mig noget mere viden om NAT og IOS. Så kan jeg måske
vende tilbage med nogle mere konkrete spørgsmål.

Tak, Asbjørn

/Bent