Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Cisco ACL

Buenos Dias

Mi router es un cisco 851 version 12.4<9>T

Tengo una interface fastethernet1 que le han creado una sub interface fastethernet1.1 donde va la ip publica de mi internet y tengo una interfaz vlan1 donde va la ip privada de mi red interna.

Manejo solo softphones y PAP2T no tengo telefonos IP

Quisiera que me apoyen con algo que no se hacer bien al parecer.

Tengo mi IP interna de mi servidor VoIP 192.168.1.200 el cual se conecta a mis proveedores de voip por puertos 4569 y 5060 y rtp 1000 al 20000

Digamos que la ip publica de mi proveedor es 190.190.190.190 para 4569 y la otra sea 191.191.191.191 para 5060 por poner cualquiera.

Entonces lo que no me funciona es lo siguiente:

Permitir de mi red interna que solo se comuniquen por puerto 4569 y 5060 al router y solo una PC que tenga acceso por telnet los demas puertos bloqueados.

Que mi ip de mi servidor con puerto 4569 se comunique exclusivamente con la ip de mi proveedor 190.190.190.190 por ese puerto

Que mi ip de mi servidor con puerto 5060 se comunique exclusivamente con la ip de mi proveedor 191.191.191.191 por ese puerto

y para ambos ip de proveedores se comuniquen con mi servidor por los puertos 10000 al 20000 (rtp)

Esto es debido a que he estado sufriendo de ataques a mi servidor voip y quisiera mejorar la seguridad de mi router ya que el proveedor de internet (que me instaló el router) ha dejado varios puertos abiertos que son por donde quieren conectarse.

Estuve investigando y puse lo siguiente pero no funciona, a ver si me dicen en que esta fallando:


access-list 100 permit udp host 190.190.190.190 host 192.168.1.200 eq 4569
access-list 100 permit udp host 191.191.191.191 host 192.168.1.200 eq 5060
access-list 100 permit udp any host 192.168.1.200 range 10000 20000

Supuestamente deny all está implicito al final de una ACL

Este acl lo pongo en mi interfaz VLAN1 ip access-group 100 in

Les agradecería bastante que me puedan apoyar ya que estoy como loco con esto desde el martes en la mañana.

Etiquetas (4)
6 RESPUESTAS
Cisco Employee

Hola:   Esto es lo que el

Hola:

   Esto es lo que el access-list que tienes configurada haría:

Permitir tráfico UDP desde la IP 190.190.190.190 (cualquier puerto origen) a la IP 192.168.1.200 únicamente en el puerto 4569.

Permitir tráfico UDP desde la IP 191.191.191.191 (cualquier puerto origen) a la IP 192.168.1.200 únicamente en el puerto 5060.

Permitir tráfico UDP desde cualquier IP con cualquier puerto origen hacia la IP 192.168.1.200 en el rango del puerto 10,000 al 20,000.

 

Si esta era tu intención con la lista de acceso, la configuración es correcta. Ahora, tú comentas que estás asignando el filtro (access-group) en la dirección IN dentro de la interfaz Vlan1 que es donde está tu red privada. Para esa dirección del flujo de tráfico tu dirección 192.168.1.200 sería el origen del tráfico y no el destino. Lo que está mal en tu configuración es la dirección en la que está aplicado el filtro. Podrías cambiar la dirección a OUT en la Vlan 1. Sin embargo, ten en cuenta que esta lista de acceso solo permite este tráfico y nada más, podrías tirar cualquier otro tráfico al momento de aplicar el filtro.

 

Saludos,

 

Rick.

New Member

Gracias Ricardo Por algo

Gracias Ricardo

 

Por algo decía que estaba haciendo algo mal.

 

En este caso me podrías indicar cómo debería hacer? hace años que no veo nada de routing en cisco y al parecer ya me oxide en el tema.

 

En si solo quiero que mi router se utilice para VoIP con mi asterisk. nada de otro tipo de trafico ni correos ni web ni ftp. La unica excepción sería Telnet a una sola IP que sería en este caso mi PC.

 

De ahi las ACL me di cuenta que están mal pues como te dije mi intención es que mi ip 192.168.1.200 se conecte por puerto 4569 y 5060 a las IP 190.190.190.190 y 191.191.191.191. los rtp estan correctos.

 

Acabo de darme cuenta de algo, que al poner el acl que puse en mi pregunta el router me respondió asi:

       permit udp any host 192.168.1.101 eq 4569
       permit udp any host 192.168.1.101 eq 5060
       permit udp any host 192.168.1.101 range 10000 20000

Haciendo que al final de cuentas no sirva lo que puse.

En verdad agradecería mucho si me pudieras brindar como poner exactamente y en que interfaz.

Cisco Employee

Hola. Hay que tomar en cuenta

Hola. Hay que tomar en cuenta un par de cosas todavía. ¿Tienes NAT en tu router? ¿Qué tipo de NAT? ¿Dinámico o estático?

Las access-list extendidas tienen este formato básico:

access-list <#> {permit|deny} <protocol> <origen> <destino>

La forma de determinar el origen y el destino depende de la dirección en la que estés viendo el tráfico. Nada más. Si me das la información de NAT podríamos ver un poco más sobre cómo diseñar esta lista.

 

Saludos.

New Member

En todo caso pongo toda mi

En todo caso pongo toda mi configuracion (claro modificado algunas cosas por seguridad jeje)

 

Muestro la configuración de mi router 

la ip 190.190.190.190 es la ip publica de un proveedor voip por IAX y la ip 191.191.191.191 es la ip publica de un proveedor voip por SIP.

Building configuration...

Current configuration : 4222 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname routersito
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
username camarita privilege 15 secret 5 832847587djem37dhd73$$$12/
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4.1
 description WAN
 encapsulation dot1Q 14
 ip address 190.8.28.118 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no cdp enable
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Vlan1
 description LAN INTERNA
 ip address 192.168.1.1 255.255.255.0 secondary
 ip address 190.8.146.82 255.255.255.252
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 190.8.146.81
!
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip nat pool ASTERISK 192.168.1.101 192.168.1.200 netmask 255.255.255.0 type rotary
ip nat inside source list 1 interface FastEthernet4.1 overload
ip nat inside source static udp 192.168.1.200 4569 interface FastEthernet4.1 4569
ip nat inside source static udp 192.168.1.200 5060 interface FastEthernet4.1 5060
ip nat inside destination list voip pool ASTERISK
!
ip access-list extended voip
 permit udp any any range 10000 20000
 permit udp any any eq 4569
 permit udp any any eq 5060
 permit tcp any any eq 5060
!
access-list 1 permit 192.168.1.0 0.0.0.255

access-list 100 permit udp host 192.168.1.100 eq telnet host 192.168.1.1 eq telnet
access-list 100 permit udp host 190.190.190.190 eq 4569 host 192.168.1.200 eq 4569
access-list 100 permit udp host 191.191.191.191 eq 5060 host 192.168.1.200 eq 5060
access-list 100 permit tcp host 191.191.191.191 eq 5060 host 192.168.1.200 eq 5060

!
control-plane
!
banner motd ^C -----------------------------------------------------------------
---------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
--------------------------------------------------------------------------
!

scheduler max-task-time 5000
end

New Member

Gracias RicardoTe paso mis

Con el acl de VOIP hago posible mis llamadas, en eso no tengo problemas

Con el nuevo acl que quiero poner quiero brindarle seguridad

O en su defecto si no puedo hacer o es muy complicado lo que me piden hacer (aca en el trabajo) como podría hacer para bloquear ciertas IP o rango de IP que ya identifiqué que se conectan a mi router.

Cisco Employee

Hola:Tu configuración de NAT

Hola:

Tu configuración de NAT permite acceso a tu equipo interno únicamente en esos puertos, pero como mencionas, el router está abierto a cualquier tipo de acceso. Lo que podemos hacer es utilizar la misma access-list que tienes para tu NAT en la interfaz pública de tu router y con eso solo permitirías la entrada a esos puertos únicamente. También veo que tienes una IP pública fija que usas para tu NAT, entonces podemos restringir los puertos a solo esa IP e incluso podemos especificar el origen del tráfico. Voy a usar las mismas IP's que comentaste, sería algo así:

 

ip access-list extended FILTER
 permit udp any host 190.8.28.118 range 10000 20000
 permit udp host 190.190.190.190 host 190.8.28.118 eq 4569
 permit udp host 191.191.191.191 host 190.8.28.118 eq 5060
 permit tcp host 191.191.191.191 host 190.8.28.118 eq 5060

 

interface FastEthernet4.1

ip access-group FILTER in

 

Con este filtro solo el siguiente tráfico es permitido hacia el router (y gracias al NAT hacia tu server):

UDP del equipo 190.190.190.190 hacia tu red en el puerto 4569

UPD y TCP del equipo 191.191.191.191 hacia tu red en el puerto 5060

UDP de cualquier IP hacia tu red en los puertos 10000 - 20000

 

Veo en tu configuración que no querías bloquear telnet hacia el router desde la red interna, con la configuración de arriba ya no es necesario especificarlo. Cualquier tráfico desde tu red interna al router está permitido.

 

Saludos,

Ricardo

893
Visitas
0
ÚTIL
6
Respuestas