xDSL.at

[zid]

liebe cisco experts,

ich hab beim c1841er ein problemchen mit den racl's.
vor einigen tagen hab ich von außen meinen 1841er gescannt mit folgendem ergebnis:

Code: Alles auswählen

>nmap -n -v -P0 -p1-1024 78.xx.xx.xx

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2011-03-23 20:26 CET
...
(The 1013 ports scanned but not shown below are in state: closed)
PORT    STATE    SERVICE
111/tcp filtered rpcbind
135/tcp filtered msrpc
201/tcp filtered at-rtmp
202/tcp filtered at-nbp
203/tcp filtered at-3
204/tcp filtered at-echo
205/tcp filtered at-5
206/tcp filtered at-zis
207/tcp filtered at-7
208/tcp filtered at-8
445/tcp filtered microsoft-ds
...

heut hab ich racl's gesetzt (cbac und zfw gehen mit meiner aktuellen broadband sw. nicht), und das ergebnis von nmap war, wie gewünscht, auf allen untersuchten ports "filtered".
danach hab ich mit einem reload die konfig, die ich bei dem test vor ein paar tagen drauf hatte, wieder geladen und den scan wiederholt. ergebnis wieder alles "filtered".

Code: Alles auswählen

>nmap -n -v -P0 -p1-1024 78.xx.xx.xx

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2011-03-26 19:21 CET
...
The SYN Stealth Scan took 207.05s to scan 1024 total ports.
Host 78.xx.xx.xx appears to be up ... good.
All 1024 scanned ports on 78.xx.xx.xx are: filtered

das ergebnis ist reproduzierbar, relo und scan wurden mehrmals durchgeführt, auch ausschalten -> warten -> einschalten hat nichts gebracht.
meine aktuelle acl, nur eine für telnet:

Code: Alles auswählen

#s access-lists
Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.255.255
    20 permit 195.xx.xx.xx, wildcard bits 0.0.0.7
    30 permit 10.0.0.0, wildcard bits 0.0.255.255

die 2 dialer sehen so aus:

Code: Alles auswählen

#s run in d0
Building configuration...

Current configuration : 290 bytes
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxx
ppp chap password 0 xxxxxx
no cdp enable
end

#s run in d1
Building configuration...

Current configuration : 292 bytes
!
interface Dialer1
ip address negotiated
no ip redirects
no ip unreachables
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 2
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxx
ppp chap password 0 xxxxxx
no cdp enable
end

eingesetzte sw.: c1841-broadband-mz.150-1.M4.bin
hat irgendjemand dazu eine idee? ist der 1841er lernfähig? da wäre schlimm. wenn das ding jeden tag so viel dazulernt, fehlt mir spätestens nach einer wo. komplett der plan...

danke & lg
zid

[jutta]

keine konkrete idee, nur ein schwacher trost: ich hab in meinem bisherigen netzwerkleben bei nichts soviele unerwartete und unerklaerbare ergebnisse rausbekommen wie bei portscans.

[zid]

hallo jutta,

du hast wie immer recht. die sache ist ist jetzt klar- chello blockt. ich hab diese scans von einem rechner eines bekannten aus gemacht, und der ist bei chello.
wenn ich jedoch im kreis scanne, d.h. ich geh über den bond link raus und komm über die leitung1 rein, dann schaut das ganze schon viel besser aus:
ohne racl:

Code: Alles auswählen

>nmap -n -v -P0 -p1-1024 78.xx.xx.xx -S 195.xx.xx.xx

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2011-03-28 08:17 UTC
Host 78.xx.xx.xx appears to be up ... good.
Initiating SYN Stealth Scan against 78.xx.xx.xx at 08:17
Adding open port 23/tcp
The SYN Stealth Scan took 11 seconds to scan 1024 ports.
Interesting ports on 78.xx.xx.xx:
(The 1023 ports scanned but not shown below are in state: closed)
PORT   STATE SERVICE
23/tcp open  telnet

Nmap run completed -- 1 IP address (1 host up) scanned in 11.707 seconds

mit racl:

Code: Alles auswählen

>nmap -n -v -P0 -p1-1024 78.xx.xx.xx -S 195.xx.xx.xx

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2011-03-28 08:28 UTC
Host 78.xx.xx.xx appears to be up ... good.
Initiating SYN Stealth Scan against 78.xx.xx.xx at 08:28
The SYN Stealth Scan took 854 seconds to scan 1024 ports.
All 1024 scanned ports on 78.xx.xx.xx are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 854.710 seconds

es war übrigens w1, der mich mit seinen "blöden" fragen auf diese idee gebracht hat, der junge stellt immer nur "blöde" fragen...
herzlichen dank an dich wicked, du hast mir wieder mal sehr geholfen.
ja, und auch herzlichen dank an stefan hedenig, der mir ganz anders geholfen hat.
haach, bin ich froh, der cisc hat doch keinen klescher...

lg
zid

[wicked_one]

Bin ich froh, dass ich dich immer mit meinen subtilen Fragen richtig lotse

[zid]

>"...dass ich dich immer mit meinen subtilen Fragen richtig lotse..."
ja, das tust du tatsächlich. das letzte mal war es andis prob mit rdp:
http://www.dieschmids.at/Netzwerk-und-W ... g-ist.html
die idee, kein gate zu setzen, die kann was. und ohne dich hätten wir noch "einige" zeit daumen gelutscht...
doch um auf das prob mit den racl's zurückzukommen- ich hab gleich am anfang einen gravierenden fehler gemacht. die 11 filtered ports des ersten scans hätten mich stutzig machen *müssen*. das ist nicht der stil von cisco, die jungs bevormunden den user nicht (sehr gut!). man bekommt ein offenes gerät und muß sich das ding so hinbiegen, daß es den persönlichen anforderungen genügt. so, und wenn man jetzt 11 filtered ports bekommt, obwohl man in hinblick auf filtering noch nix untenommen hat, dann kann es nicht vom cisco kommen, sondern muß eben was andres sein. ja, und genau das hab ich ignoriert.
gott straft sofort, wenn er zeit hat...

lg
zid