como restrinjo puertos en cisco 871

vampira · #1 (**permalink**) 09/05/2006, 10:13

hola..

recien instale un router cisco 871, trae una interfaz web based pero si activo el firewall no me deja entrar a muchas paginas, no puedo enviar correos via web, ni reservar hoteles o comprar boletos, etc..

trae unos puertos abiertos x default el smtp, etc, supuestamente, entonces si activo uno de esos pues puedo enviar correos locales pero no via web.. asi ke lo desactive..

pero lo ke kiero es tener todo blokeado, messenger, peer to peer, etc, pero tener un rango de ips las cuales si tengan acceso a esos servicios... pero no he podido hacer eso, en la interfaz (SDM) supuestamente trae para configurar esas opciones pero no me hace caso :( activo los puertos 443 y 1863 y nada, no le importa las instrucciones ke le doy, entonces no se como configurarlo para ke haga lo ke kiero ...

alguien tiene una idea, un manual o algo ke me pueda ayudar???? me serviria mucho.. gracias 1000 de antemano

dogduck · #2 (**permalink**) 09/05/2006, 10:46

Tendrás que entrar en modo consola y definir listas de control de acceso ( ACL ). Los routers Cisco con os IOS controlan de esta manera el tráfico.

Mira estos ejemplos:

Cita:

!!!Standard IP access list 1 [
permit 172.16.1.0, wildcard bits 0.0.0.255
permit 145.18.0.0, wildcard bits 0.0.255.255
deny any
!!! Permitira solo el trafico de las redes 17.16.1.0 y 145.18.0.0

Aqui te explica como hacer las listas: http://club.idecnet.com/~ccastano/ci...a2_mod1a11.mht
En el capitulo 11 : mhtml:http://club.idecnet.com/~ccastano/cisco/ccna2_mod1a11.mht!ccna2_mod1a11_archivos/sheet011.htm

vampira · #3 (**permalink**) 09/05/2006, 14:47

mil gracias dogduck, probare algunos comando haber si no lo dejo peor..
pero bueno en el caso ke comentaba de ke si activo el firewall no puedo hacer reservaciones ni cosas asi, ke puerto tendria ke permitir?? el 443?

es posible blokear x nombre de servidor o pagina?? x ejemplo si no kiero ke se conecten al msn blokeo el 1863 pero se va al puerto 80 y ese siempre esta activo, puedo blokear el servidor de msn? (gateway.messenger... etc)

dogduck · #4 (**permalink**) 09/05/2006, 15:10

Lo que yo haria seria permitir el tráfico del puerto 80 ( http ), 443 (https ) , 25 ( smtp ), y 110 ( pop3) hacia fuera de la intranet y el trafico icmp y udp para el dns. Y todo lo demás caparlo . En un router Cisco seria

router> enable
router# config t
router(config)# ip access-list extended regla_red_local1
router(config-ext-nacl)# permit icmp any any
!!! permito el trafico icmp = ping , tracert
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq wwww
!!! permito a la red local 192.168.1.0/24 el trafico web
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq 25
!!! idem smtp
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq 110
!!! idem pop3
router(config-ext-nacl)# permit udp 192.168.1.0 0.0.0.255 eq domain
!!! permito trafico udp de resolucion dns
!!! deny any any va implicito en la última linea
router(config-ext-nacl)# exit
!!!nos vamos al interface fa 0/0
router(config)# interface fa 0/0
!!! aplicamos la acl en sentido entrante de la interface
router(config-if)# ip access-group regla_red_local1 in
router(config-if)# end
!!! salvamos la configuración
router# copy ru st

Puede que tenga algún fallo , ya que la he hecho de memoria y deprisa
De todas formas , prueba primero , ya que las acl al principio no son sencillas y es facil liarse.
Practica y suerte

Hijacker · #5 (**permalink**) 09/05/2006, 15:14

mmmmmmmm.... no, con las ACL puedes bloquear only por IP o por Puerto, no puedes hacer filtrados web porque eso trabajo en otra "capa" de comunicacion superior a la de red o transporte (ip y puerto) para que nos entendamos y sucesivamente.

Para filtrar web, aparte de necesitar una aplicación que realice esto, en routers Cisco podrías "actualizar" tu IOS o S.O a uno más avanzado con propiedades avanzadas de seguridad valga la redundancia y de todas formas que yo sepa no filtra messenger msn, para eso necesitas un firewall o algún proxy, en mi opinión claro..

Salu2

vampira · #6 (**permalink**) 09/05/2006, 15:15

muchas gracias, en el link ke mandaste vienen muchas practicas pero es mas facil de entender de la manera ke lo explicas :)

merci beaucoup...

vampira · #7 (**permalink**) 09/05/2006, 15:18

Hijacker> huy pues chafa me salio Cisco, segun yo lo compre xke era muy seguro..
tendria ke averiguar el host del servidor del msn para blokearlo en la ACL.. de hecho uso el SDM ke viene con el Cisco, y trae otras opciones donde supuestamente puede blokear mensajeros pero me dice ke debo actualizar el IOS, y no lo puedo hacer xke no tengo un usuario permitido en Cisco para descargar :S y x lo visto nadie tiene forma de actualizarlo :( ke cosas!

Hijacker · #8 (**permalink**) 09/05/2006, 15:24

Es que para actualizarlo tienes que ser Distribuidor o CCO o CCIE (nivel máximo de certificación de Cisco Systems), en mi empresa lo hago constantemente pero claro...ojalá pudiera hacerlo fuera!!!!! malditos millonarios ejjeje.

Cisco es muy seguro lo que pasa es que a nivel de router hay limitaciones por que el dispositivo está diseñado para "enrutar" no para "filtrar" a pesar de que pueda tener esa funcionalidad añadida.

Salu2 y suerte.

vampira · #9 (**permalink**) 09/05/2006, 15:34

en ese caso me hubiera kedado con el ruter chafa ke tenia (netgear) y comprar un buen firewall :S

neilbarros · #10 (**permalink**) 02/07/2009, 10:11

tengo un router cisco, mas bien enia dos, el primero trabajo bien mas de un año luego de lo cual comenzo apagarse, envie s ervicio tecnico y me indicaron que se habia quemado.

cosa rara.
en todo caso compre un nuevo y lo tengo un par de meses, pero de pronto no puedo entrar a la consola principal.

es decir luego de poner la clave, intenta entrar , pero luego de dar un par d eventanas, no avanza mas.

en el modo texto si puedo entrar pero en el grafico no puedo.

el tecnico me ha indicado que es marca de router solo trabaja con java5 de sun.