Firewall "IP Inspect" auf 836

Alex_K._aus_M. · 14. Dezember 2005

Hallo,

ich beschäftige mich seit eineiger Zeit mit einem 836 an DSL (Nur Surfen und co. kein VPN oder sonst was). Jetzt habe ich die Firewall aktiviert mit ein paar Standart Reglen. Als ich bei Cisco versuchte nachzulesen wurde es nicht gerade klarer, sondern eher verwirrender. Die schreiben da ...

Configure and apply the "deny any" ACL on the public-facing interface, fastethernet 0/0, to block requests from the unsecure network.

access-list 101 deny ip any any

interface fastethernet 0/0

ip access-group 101 in

(fastethernet 0/0 ist in diesem Bsp. das Interface in Richtung Internet, und fast0/1 ins LAN)

Nun kommen die Reglen und die Bindung ans Interface

Define the inspection set:

ip inspect name myfw tcp

ip inspect name myfw udp

ip inspect name myfw icmp

Apply the inspection inbound to the inside interface:

interface fastethernet 0/1

ip inspect myfw in

Or, apply inspection outbound to the outside interface:

interface fastethernet 0/0

ip inspect myfw out

So jetzt kommt meine Fragen :)

1.Frage

wenn in der Access-Liste 101 "deny ip any any" steht. Wie soll dann noch Traffic reinkommen. Oder öffnet die Firewall trotz der Access Liste ein Loch ? :suspect:

2.Frage

wie sinvoll ist es die Firewall in beide Richtungen zu aktivieren. Reicht in meinem Fall den nicht nur.

interface fastethernet 0/0

ip inspect myfw out

3.Frage

Diese "Complete List of Granular Protocol Inspection-Supported Services" ist ja endlos lang bei Cisco. Gibt es da nicht einen quasi Standart für den "normalen" Internet User.

Ich hoffe das war jetzt nicht zuviel gefragt. Und bitte nicht Schlagen wenn ich da was Grundsätzliches übersehen habe. Danke

Klettermaxx · 14. Dezember 2005

1. Mit dem Befehl blockst Du jeglichen reinkommenden IP-Verkehr auf dem Interface.

2. Die Firewall wäre sinnvoller incoming auf dem ausgehenden Interface, sprich dem Dialer für die Internetverbindung.

3.Erzeuge einfach Einträge mit ip inspect. Ich würde empfehlen einfach alles zu aktivieren. Dann lasse alle IP-Daten eingehend auf dem Dialer Interface prüfen. Quasi ip inspect myfw in.

Gruß Florian

daking · 14. Dezember 2005

Hola,

incoming auf dem Dialer ist die fw sicherlich nicht sinnvoll, ausser du willst Requests auf Server in z.B. der DMZ überprüfen ! In deinem Fall wirst du die Verbindung aufbauen und nicht ein entfernter Client im Internet.

Hier ein Beispiel über die Funktion:

LAN--->fa0/0----router---fa0/1--->Internet

Sinnvoll ist hier das CBAC Feature entweder incoming auf dem fa0/0 interface oder outgoing auf dem fa0/1 zu aktivieren. Die zusätzliche ACL mit minimal deny ip any any benötigst du , da wenn auf der LAN Seite eine Verbindung aufgebaut wird, automatisch der Rückweg in dieser ACL durch das CBAC Feature definiert wird (solltest du auch mit sh access-list xx sehen, ausser bei aktuellen IOS). Existiert keine ACL in der Gegenrichtung funktioniert dieses Feature nicht.

Ein Standard set von Protokollen deren Inhalt (Befehle...Grösse...Anzahl SYN..) gescheckt werden soll gibt es nicht. Musst du selber entscheiden. Wenn du z.B. SMTP überprüft kannst du keine erweiterten Befehle benutzen, die für manche Server benötigt werden, FTP.. H323... usw.

Ciao

Alex_K._aus_M. · 15. Dezember 2005

Danke für dir Antworten,

habe jetzt mal die Firewall Outgoing auf dem Dialer-Interface installiert, mit ACL Liste in gegenrichtung. - sieht gut aus und funktioniert - :)

Ich habe jetzt mal einen ganzen Stall von "Regle sets" auf der Firewall aktiviert und werde wohl das Ausschlussverfahren wählen. Sollte eine Anwendung nicht mehr gehen, muss ich das entsprechende Regel-Set halt wieder ausschalten :(

Nochmals Danke für die Antworten

Alex_K._aus_M. · 15. Dezember 2005

Hmmmm,

funktioniert doch nicht, hatte die falsche access-liste aufs Interface gebunden. Ich habe jetzt die richtige Access-List aufs Dialer Interface gebunden, jetzt geht gar nichts mehr :shock:

Meine Konfig sieht jetzt auszugsweise so aus. Habe ich was übersehen ??

ip inspect name myfw cuseeme timeout 360

ip inspect name myfw ftp timeout 360

ip inspect name myfw h323 timeout 360

ip inspect name myfw icmp timeout 360

ip inspect name myfw netshow timeout 360

ip inspect name myfw rcmd timeout 360

..........................usw....

ip inspect name myfw udp

ip inspect name myfw vdolive timeout 360

interface Dialer1

description connected to Internet

ip access-group 101 in

ip nat outside

ip inspect myfw out

access-list 101 deny ip any any

daking · 16. Dezember 2005

Hola,

kannst du nicht mal eine externe IP pingen?

Einfach mal das logging mit :

ip inspect audit-trail

logging on

und optional

no ip inspect alert-off.

Funktioniert das nat ?

sh ip nat trans

debug ip nat?

Ciao

Alex_K._aus_M. · 16. Dezember 2005

Upps ................ daking woher wusstest du das. Stimmt - Ich kann IP Adressen im Internet noch noch Pingen. NAT sollte also funtionieren. Was könnte das sein ?

Anbei das logging wie du vorgeschlagen hast. (Verstehen tu ich die Einträge zwar nicht)