Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
52 lecturas y 3 respuestas
  • Cerrado

    Cisco 826 y ACL's

    La situacion es la siguiente, tengo configurado el router correctamente con ip fija, ahora quiero que desde una ip concreta se puedan acceder a los recursos compartidos de 192.168.0.5 mediante smb. Bien, abro los puertos y todo ok, pero lo que no puedo es filtrar quien puede y quien no entrar al router

    Detallando:

    version 12.2
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname nombre_router
    !
    enable secret 5 $1$joML$qvGhFJibPeYK.gK6o3fdT/
    !
    mmi polling-interval 60
    no mmi auto-configure
    no mmi pvc
    mmi snmp-timeout 180
    ip subnet-zero
    no ip domain-lookup
    !
    interface Ethernet0
    ip address 192.168.0.1 255.255.255.0
    ip nat inside
    no ip mroute-cache
    no cdp enable
    hold-queue 100 out
    !
    interface ATM0
    no ip address
    ip access-group 106 in
    no ip route-cache
    no ip mroute-cache
    no atm auto-configuration
    no atm ilmi-keepalive
    no atm address-registration
    no atm ilmi-enable
    bundle-enable
    hold-queue 208 in
    !
    interface ATM0.1 point-to-point
    ip address X.X.X.X 255.255.255.192
    ip nat outside
    no ip route-cache
    no ip mroute-cache
    pvc 8/32
    encapsulation aal5snap
    !
    !
    ip nat inside source list 101 interface ATM0.1 overload
    ip nat inside source static tcp 192.168.0.5 139 X.X.X.X 139 extendable
    ip nat inside source static tcp 192.168.0.5 138 X.X.X.X 138 extendable
    ip nat inside source static tcp 192.168.0.5 137 X.X.X.X 137 extendable
    ip classless
    ip route 0.0.0.0 0.0.0.0 ATM0.1
    no ip http server
    ip pim bidir-enable
    !
    !
    access-list 101 permit ip any any
    access-list 106 deny tcp any any eq 139
    no cdp run
    !
    !
    line con 0
    exec-timeout 120 0
    stopbits 1
    line vty 0 4
    access-class 23 in
    exec-timeout 120 0
    password 7 071C385F5A0C14
    login
    length 0
    !
    scheduler max-task-time 5000
    end


    En este runing-config lo que intentaba es prohibir el acceso al 139 desde cualquier sitio, pero me sigue saliendo abierto :***

    El caso, es que si aplico esa regla como in en atm0.1 .... me quedo sin internet :O

    Creo que el fallo puede estar o en la interfaz donde la aplico, o en que igual deberia ir en la lista de acceso 101 que usa nat, pero no tengo ni idea

    Lo primero que quiero, es ver donde esta el fallo haciendolo con esta regla para luego aplicar las que quiero en verdad

    Un saludo.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Vamos por partes: Para filtrar el acceso al router, en el…

      Vamos por partes:

      Para filtrar el acceso al router, en el "line vty 0 4", aplica una lista de acceso, del tipo:

      access-list 102 permit ip [IP] [wildmask] any
      access-list 102 deny any any
      line vty 0 4
      access-group 102 in

      Ten mucho cuidado antes de aplicar la lista de acceso (salvo que puedas acceder por consola al router), ya que si te confundes perderás la gestión del router.

      En cuanto al acceso netbios, quizás deberías poner una lista de acceso en la ethernet con un permit para la IP desde la que quieres poder acceder y negando el resto, algo como:

      access-list 106 permit tcp host [IP] host 192.168.0.5 eq 137
      access-list 106 permit tcp host [IP] host 192.168.0.5 eq 138
      access-list 106 permit tcp host [IP] host 192.168.0.5 eq 139
      access-list 106 deny tcp any any eq 137
      access-list 106 deny tcp any any eq 138
      access-list 106 deny tcp any any eq 139
      access-list 106 permit ip any any
      interface ethernet0
      access-group 106 out

      Si aplicas la lista de acceso en el interface atm, el router comprueba si "matchea" en ella antes de aplicar el NAT, así que es más cómodo ponerla en la ethernet (si no vas a usar el NAT de forma intensiva con P2P, pq se cargaría mucho la CPU), para controlar los paquetes una vez aplicado el NAT y por la IP de destino.
      Por lo que veo, el NAT estático debería funcionarte, pero para estar seguro, puedes ponerte a hacer peticiones contra uno de los tres puertos mientras controlas la tabla del NAT con un "sh ip nat trans".
      Si no tienes el router muy cargado de CPU puedes poner un "debug ip packet detail 106" (después tienes que poner un "term monitor") y podrás ver los paquetes que pasan por el router y que sean comprobados por la lista de acceso 106 (hazlo solo si no tienes mucho tráfico, pq puedes saturar la CPU).
      Para quitar el debug, "ter no mon" y después "undebug all".
      Si te sigue sin funcionar, podemos echarle un vistazo más a fondo ;-)