Har Cisco 677 FireWall?

Ikke en "rigtig" firewall som jeg ville kalde det, men routeren kører dog med NAT som i sig selv gør næsten det samme.

Men jeg bør stadig køre med en firewall på pc'erne, ikke?

Enig med devradio. God ide å kombinere med personal firewall. Da har man "dobbel sikkerhet" og kontroll på utgående trafikk mht virus, ormer og trojanere.

Tak for jeres kommentarer. >Devradio lav et svar og du får dine point.

der er en "firewall" på din cisco 677 og der er 2 måde at komme til den firewall med telnet eller den indbygge webserver Hvordan tilslutter jeg til Web-server-delen af routeren?

For at kunne gøre dette skal web-serveren i routeren være 'enabled':

1.Log ind på routeren og skriv:

set web en
write

2. Hvis du har forwardet port 80 til en server, skal du også tilføje en linje som denne
set web port 8080
Porten kan selvfølgelig ændres.

3. Start en browser (såsom Internet Explorer), og skriv din WAN-IP ind i denne. Herefter vil der blive spurgt efter dit brugernavn og password. Brugernavnet er "enable" og dit password er det du er blevet tildelt af Cybercity.

4. Hvis du brugte punkt 2, skal du i din browser skrive adressen som denne: http://<WAN-IP>:8080



til telnet delene

Filter firewall

Hvad kan jeg bruge filtre til?

Routeren har en funktion der gør det muligt at have op til 20 forskellige filter-indstillinger.
Du kan bruge dette til at bestemme om folk udefra eller indefra skal have begrænsninger. Du kan f.eks. forhindre en klient i at kunne bruge FTP (port 21).
Eller man kan sørge for, at kun én bestemt IP-adresse på Internettet kan slutte til ens router/klienter.
Og sådan kunne man blive ved.

Hvordan fungerer filtre?

Det er lettest at illustrere filtrering med nogle eksempler:

set filter 18 on allow incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
set filter 19 on allow outgoing all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Når du tilføjer et filter, skal du altid have et andet filter, der omvendt tillader eller forbyder resten. Så hvis du vil lave nogle filtre der forbyder noget, er det en god idé at bruge de to ovenstående filtre. Dette indebærer at du holder forbindelsen åben for resten af portene, eller hvad det nu er du ønsker at begrænse.

Bemærk, at de to filtre har fået de to højeste numre (18 og 19). Dette skyldes at de skal have laveste prioritet. De andre filtre skal jo gælde frem for disse.

De mest almindelige filtre

set filter 0 on deny incoming all 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol TCP srcport 1-65535 destport 80-80

Denne vil blokere for al indkommende på port 80 (HTTP).

set filter 0 on deny incoming wan0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol TCP srcport 1-65535 destport 21-21

Hvis du aktiverer denne lukker du for FTP (port 21) adgang for udefrakommende. WAN0-0 er det eksterne interface. Man kan sige det svarer til hoveddøren i et hus. Hvor eth0 er en dør inde i huset.

set filter 0 on deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 1-65535 destport 21-21

Med denne kan man sørge for, at routerens klienter ikke kan bruge FTP, dvs. slutte til port 21. Hvis man skifter 21-21 ud med nogle andre tal, vil det være dem som klienterne ikke kan tilslutte til.
Man kan bygge videre på denne, så det kun er én klient, der må tilslutte til port 21:

set filter 0 on allow outgoing eth0 10.0.0.5 255.255.255.255 0.0.0.0 0.0.0.0 protocol tcp srcport 1-65535 destport 21-21
set filter 1 on deny outgoing eth0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 protocol tcp srcport 1-65535 destport 21-21

Så er det kun klienten med IP'en 10.0.0.5 der kan tilslutte til port 21 på Internettet. Resten af klienterne kan altså ikke.

set filter 0 off | on | reset

Hvis du vil deaktivere et filter kan du gøre det med off, for at aktivere on, og for at sætte tilbage til standard reset.

Wauu, det kalder jeg en dybtgående forklaring. Jeg havde nu slet ikke tænkt mig at lege med indstillingerne på routeren. Men dit svar bekræfter meget tydeligt, hvad Devradio skrev. Jeg venter i øvrigt stadig på, at han laver et svar så han kan få sine point. Håber det er okay med dig Megabad,

hvorfor da?  han har da ikke ret i det han siger.
firewall i cisco 677 er ikke det samme som nat

Sådan læser jeg ham heller ikke. Han siger, at Cisco'en kører med NAT, men at det ikke er en rigtig FireWall.
Jeg forstår dit svar sådan, at han har ret i det.

Nu har jeg selvfølgelig ikke noget at skulle have sgt,...men efter jeg lige har læst spørgsmålet og megabad's forholdsvis enkle og alligevel meget beskrivende indlæg, vil jeg næsten opfordre dig til at (som minimum) at dele pointene mellem dem...

Mht. NAT vs. Firewall, så har megabad helt ret i det han skriver - du kan dels opsætte en hel række NAT-entries, som du godt kan bruge til firewall-lignende funktionaliteter, men men men.... derudover har Cisco'en OGSÅ de filtre som megabad beskriver - og det er reelt firewall'en i din cisco !

...Så del dog pointene imellem dem, når nu megabad har været villig til at spendere tid på sin beskrivelse ;o)

Jahh, Hald. Jeg synes jeg har været rimelig tålmodig i min venten på et svar fra Devradio, og nu vil jeg gerne lukke detteher spørgsmål. Devradio har sikkert glemt alt om det, så jeg lukker med at give pointene til megabad
vh
Lasse