CISCO Frage

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

CISCO Frage

Beitragvon gogosch » Fr 30 Mär, 2007 11:41

Hallo!
Habe mir für meinen CISCO eine Config für ein /29-Subnetz gebastelt die auch einwandfrei läuft.
Trotzdem hätte ich eine Frage an die Spezialisten, ob man in angefügter Config was verbessern kann?
Code: Alles auswählen
Current configuration : 1528 bytes
!
version 12.2
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ****
!
logging queue-limit 100
enable secret *****
!
username ***** password ****
clock timezone gmt+1 1
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!

interface Ethernet0
ip address *.*.*.* 255.255.255.248
no ip proxy-arp
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/48
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer remote-name redback
dialer idle-timeout 0
dialer persistent
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname *****@linea7.com
ppp chap password *****
ppp pap sent-username ****@linea7.com password *****
hold-queue 224 in
!
ip classless
ip default-network 0.0.0.0
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
access-list 111 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
login local
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 120 0
logging synchronous
login local
!
scheduler max-task-time 5000
!
end

gogosch
Board-Mitglied
Board-Mitglied
 
Beiträge: 104
Registriert: Fr 30 Mär, 2007 08:57

Beitragvon martin » Fr 30 Mär, 2007 12:37

dein router lässt auch von aussen für jedemann telnet verbindungen zu, bist du sicher dass du das willst?
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Beitragvon gogosch » Fr 30 Mär, 2007 13:07

martin hat geschrieben:dein router lässt auch von aussen für jedemann telnet verbindungen zu, bist du sicher dass du das willst?

Ja! Das ist gewünscht! Wegen allfälliger Fernwartung!
gogosch
Board-Mitglied
Board-Mitglied
 
Beiträge: 104
Registriert: Fr 30 Mär, 2007 08:57

Beitragvon martin » Fr 30 Mär, 2007 13:56

gogosch hat geschrieben:Wegen allfälliger Fernwartung!


gogosch hat geschrieben:access-list 111 permit ip any any


recht viel mehr kannst du auch aus der ferne nicht aufmachen? ;)

ich wĂĽrd mir gut ĂĽberlegen ob du das wirklich brauchst...
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Beitragvon lordpeng » Fr 30 Mär, 2007 14:04

>Ja! Das ist gewünscht! Wegen allfälliger Fernwartung!
autsch ... btw. anstelle von telnet wĂĽrd ich secureshell verwenden, soferns der router kann ...

wie martin bereits erwähnt hat, solltest du nur die services zulassen, die du wirklich brauchst ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon barbakuss » Fr 30 Mär, 2007 14:22

ich würd den zugriff mit access-listen total beschränken und dann nur diejenigen IPs freischalten von denen aus der Zugriff per ssh oder telnet erlaubt sein soll

du kannst auch noch von http://www.pool.ntp.org/zone/europe einen ntp server eintragen, dann aktualisieren sich die Uhrzeiten automatisch ( sntp-server xxx.xxx.xxx.xxx), ändert zwar nix an der funktion jedoch ist es beim durchforsten der logfiles komfortabler
Bild

No one fucks around with the admin! The admin does the fucking!
barbakuss
Board-User Level 1
Board-User Level 1
 
Beiträge: 713
Registriert: Fr 09 Dez, 2005 20:51

Beitragvon gogosch » Fr 30 Mär, 2007 14:34

barbakuss hat geschrieben:ich würd den zugriff mit access-listen total beschränken und dann nur diejenigen IPs freischalten von denen aus der Zugriff per ssh oder telnet erlaubt sein soll

du kannst auch noch von http://www.pool.ntp.org/zone/europe einen ntp server eintragen, dann aktualisieren sich die Uhrzeiten automatisch ( sntp-server xxx.xxx.xxx.xxx), ändert zwar nix an der funktion jedoch ist es beim durchforsten der logfiles komfortabler

Das mit dem SNTP-Server ist eine gute Idee. :ok:
Danke!
Hab folgende Statements zur Config hinzugefĂĽgt:
C***(config)#ip name-server 195.16.241.140
C***(config)#ip name-server 195.16.241.141
C***(config)#sntp server at.pool.ntp.org
Jetzt wird die Uhrzeit im Log wenigstens richtig angezeigt! :ok:
gogosch
Board-Mitglied
Board-Mitglied
 
Beiträge: 104
Registriert: Fr 30 Mär, 2007 08:57

Beitragvon martin » Fr 30 Mär, 2007 14:53

trotzdem ist wie schon zuvor erwähnt die uhrzeit das kleinste problem das du hast/hattest ;)

das "permit any any" ist schon eine etwas "russische" konfiguration...
martin
Moderator
Moderator
 
Beiträge: 1577
Registriert: Mo 23 Jun, 2003 16:56
Wohnort: KremsmĂĽnster

Beitragvon wicked_one » Fr 30 Mär, 2007 16:42

ĂĽberleg dir eine vernĂĽnftige access-list...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon gogosch » Fr 30 Mär, 2007 18:59

Habe
access-list 2 permit *.*.*.* (steht fĂĽr IP des Firewall-Rechners)
eingefĂĽgt.
Denke das reicht!
gogosch
Board-Mitglied
Board-Mitglied
 
Beiträge: 104
Registriert: Fr 30 Mär, 2007 08:57

Beitragvon ANOther » Fr 30 Mär, 2007 19:12

bzgl telnet... wenn du unbedingt von überall fernwarten willst, bastel dir doch ein vpn auf eine kiste dahinter, dann kannst du bzgl telnet zumindest auf eine ip einschränken...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon gogosch » Di 03 Apr, 2007 23:19

gogosch hat geschrieben:Habe
access-list 2 permit *.*.*.* (steht fĂĽr IP des Firewall-Rechners)
eingefĂĽgt.
Denke das reicht!

Um Missverständnisse und dauernde Anfragen zuvermeiden.
Die genannte Access-List wurde an "line vty 0 4" mittels "access-class 2 in" gebunden:
Code: Alles auswählen
!
line con 0
exec-timeout 0 0
login local
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 2 in
exec-timeout 120 0
logging synchronous
login local
!

Somit ist ein Zugriff auf die Konfiguration nur von genannter IP möglich.
gogosch
Board-Mitglied
Board-Mitglied
 
Beiträge: 104
Registriert: Fr 30 Mär, 2007 08:57

Beitragvon wicked_one » Mi 04 Apr, 2007 16:48

hat bisher keiner gemerkt das da nix genattet wird...?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon jutta » Mi 04 Apr, 2007 16:55

ich dachte, dass das absicht ist
Config fĂĽr ein /29-Subnetz gebastelt
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wicked_one » Mi 04 Apr, 2007 17:07

eben, wozu also access-lists... das einzige das geschĂĽtzt werden muss is der Router - das Netzt schĂĽtzt der Firewall rechner dahinter...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Nächste

ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 31 Gäste