# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  Cisco 836: .cfg files & port forwarding

## lacbil

Καλημέρα σε όλους!
Οι απορίες, μετά από ψάξιμο άνω των 2 ημερών, περιορίζονται στις εξής:
1]   Τόσο το CRWS όσο και το SDM, παρατηρώντας αντίστοιχα τα webflash και flash, έχουν δικό τους .cfg file (ConfigExp.cfg και sdmconfig-83x.cfg αντίστοιχα). Τελικά ποιό φορτώνεται στο startup όταν "πειράζω" τόσο το CRWS όσο και το SDM; 
     Σχετικά με παραπάνω, όταν ενεργοποιώ π.χ. το firewall στο CRWS γιατί αυτό δεν φαίνεται στο SDM (και αντίστροφα);

2]   Παρ' όλες τις πολλές χρονοβόρες μου προσπάθειες δεν  έχω κατορθώσει ακόμα να κάνω port forwarding στο ciscάκι μου!   :Crying:   Μπορεί παρακαλώ να βοηθήσει κάποιος;
     Κατ' αρχάς δοκιμάζοντας το άνοιγμα θυρών (inbound και outbound είτε από ethernet είτε από dialer1 σε destination, συνήθως, ports) από SDM δεν επιτυγχάνεται το επιθυμητό. Μετά από υποδείξεις παιδιών, έκανα startup-config.cfg τον παρακάτω κώδικα. Έχω κάνει λάθη;;;
     Το μήνυμα που παίρνω συνεχώς, έχοντας ανοιχτό hyperterminal συνδεδεμένο με το router, είναι 
*list 103 denied ip_address (6346) -> ...* (ή αντίστροφα)
ή *list 103 denied ip_address (4662) -> ...* (ή αντίστροφα),
που αντιστοιχούν στο shareaza και emule.  :Crying: 
Ιδού το startup-config μου:



```
!version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname **hostname**
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret *************
!
username **hostname** password *********
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   lease 0 2
!
!
ip name-server 195.170.0.1
ip name-server 195.170.2.2
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name DEFAULT100 cuseeme timeout 3600
ip inspect name DEFAULT100 ftp timeout 3600
ip inspect name DEFAULT100 rcmd timeout 3600
ip inspect name DEFAULT100 realaudio timeout 3600
ip inspect name DEFAULT100 smtp timeout 3600
ip inspect name DEFAULT100 tftp timeout 30
ip inspect name DEFAULT100 udp timeout 15
ip inspect name DEFAULT100 tcp timeout 3600
ip inspect name DEFAULT100 h323 timeout 3600
ip inspect name DEFAULT101 cuseeme
ip inspect name DEFAULT101 ftp
ip inspect name DEFAULT101 h323
ip inspect name DEFAULT101 netshow
ip inspect name DEFAULT101 rcmd
ip inspect name DEFAULT101 realaudio
ip inspect name DEFAULT101 rtsp
ip inspect name DEFAULT101 smtp
ip inspect name DEFAULT101 sqlnet
ip inspect name DEFAULT101 streamworks
ip inspect name DEFAULT101 tftp
ip inspect name DEFAULT101 tcp
ip inspect name DEFAULT101 udp
ip inspect name DEFAULT101 vdolive
ip inspect name DEFAULT101 icmp
ip ips po max-events 100
no ftp-server write-enable
!
!
!
! 
!
!
!
interface Ethernet0
 description $FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
interface BRI0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode annexb-ur2
 hold-queue 224 in
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 103 in
 ip nat outside
 ip inspect DEFAULT101 out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname ************
 ppp chap password ***********
 ppp pap sent-username ********** password *****************
 ppp ipcp dns request
 ppp ipcp wins request
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 6346 interface Dialer1 6346 ! &lt;&lt;&lt;ΕΔΩ>>>
ip nat inside source static udp 10.10.10.2 6346 interface Dialer1 6346
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662
ip nat inside source static udp 10.10.10.2 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.2 6881 interface Dialer1 6881
ip nat inside source static tcp 10.10.10.2 6882 interface Dialer1 6882
ip nat inside source static tcp 10.10.10.2 6883 interface Dialer1 6883
ip nat inside source static tcp 10.10.10.2 6884 interface Dialer1 6884
ip nat inside source static tcp 10.10.10.2 6885 interface Dialer1 6885
ip nat inside source static tcp 10.10.10.2 6886 interface Dialer1 6886
ip nat inside source static tcp 10.10.10.2 6887 interface Dialer1 6887
ip nat inside source static tcp 10.10.10.2 6888 interface Dialer1 6888
ip nat inside source static tcp 10.10.10.2 6889 interface Dialer1 6889
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit udp any eq domain any
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq 10000
access-list 101 permit tcp any any eq 1723
access-list 101 permit tcp any any eq 139
access-list 101 permit udp any any eq netbios-ns
access-list 101 permit udp any any eq netbios-dgm
access-list 101 permit gre any any
access-list 101 deny   ip any any
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 deny   ip 10.10.10.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny   ip 10.0.0.0 0.255.255.255 any
access-list 103 deny   ip 172.16.0.0 0.15.255.255 any
access-list 103 deny   ip 192.168.0.0 0.0.255.255 any
access-list 103 deny   ip 127.0.0.0 0.255.255.255 any
access-list 103 deny   ip host 255.255.255.255 any
access-list 103 deny   ip host 0.0.0.0 any
access-list 103 deny   ip any any log
access-list 103 permit tcp any any eq 6346  ! &lt;&lt;&lt;ΕΔΩ>>>
access-list 103 permit udp any any eq 6346
access-list 103 permit tcp any any eq 4662
access-list 103 permit udp any any eq 4672
access-list 103 permit tcp any any eq 6881
access-list 103 permit tcp any any eq 6882
access-list 103 permit tcp any any eq 6883
access-list 103 permit tcp any any eq 6884
access-list 103 permit tcp any any eq 6885
access-list 103 permit tcp any any eq 6886
access-list 103 permit tcp any any eq 6887
access-list 103 permit tcp any any eq 6888
access-list 103 permit tcp any any eq 6889
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit tcp any any eq 6346  ! &lt;&lt;&lt;ΚΙ ΕΔΩ>>>
access-list 111 permit udp any any eq 6346
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 6881
access-list 111 permit tcp any any eq 6882
access-list 111 permit tcp any any eq 6883
access-list 111 permit tcp any any eq 6884
access-list 111 permit tcp any any eq 6885
access-list 111 permit tcp any any eq 6886
access-list 111 permit tcp any any eq 6887
access-list 111 permit tcp any any eq 6888
access-list 111 permit tcp any any eq 6889
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end
```

----------


## chatasos

Η γραμμή 


```
access-list 103 deny   ip any any log
```

πρέπει να πάει στο τέλος της 103 λίστας  :Wink: 


Επίσης οι παρακάτω γραμμές


```
access-list 103 permit tcp any any eq 6881
access-list 103 permit tcp any any eq 6882
access-list 103 permit tcp any any eq 6883
access-list 103 permit tcp any any eq 6884
access-list 103 permit tcp any any eq 6885
access-list 103 permit tcp any any eq 6886
access-list 103 permit tcp any any eq 6887
access-list 103 permit tcp any any eq 6888
access-list 103 permit tcp any any eq 6889
```

μπορούν να γίνουν μία:


```
access-list 103 permit tcp any any range 6881 6889
```

και όπως σου έγραψα παραπάνω, αμέσως μετά πρέπει να μπει το


```
access-list 103 deny   ip any any log
```


Το ίδιο μπορεί να γίνει και στην acl 111.

----------


## lacbil

Σ' ευχαριστώ Chataso. Έχω δοκιμάσει τη αλλαγή, που σωστά μου ανέφερες, αλλά ακόμα δεν έχω δει διαφορά. Δηλαδή, περνούν ώρες με μηδενικό κατέβασμα.  :Sad:

----------


## chatasos

Δηλαδή κατεβάζεις κανονικά για λίγο και μετά σταματάει?
Logs σου βγάζει ο router?

Για ξανακάνε post το config...

----------


## xhaos

γεια χαρα. εχω το ακολουθο προβλημα. εχω χασει το CD και στα manual δεν βλεπω τον τροπο να κανω configure το firewall. πως μπορω να κατεβασω στο pc το cfg file? και μετα πως πρεπει να το πειραζω για να ανοιγω ports?

----------


## lacbil

Είμαι σε απόγνωση με το ρημάδι.
Ιδού Chataso το config μου! Σ' ευχαριστώ!



```
!version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ********** 
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret **********
!
username ********** password **********
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   lease 0 2
!
!
ip name-server 195.170.0.1
ip name-server 195.170.2.2
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name DEFAULT100 cuseeme timeout 3600
ip inspect name DEFAULT100 ftp timeout 3600
ip inspect name DEFAULT100 rcmd timeout 3600
ip inspect name DEFAULT100 realaudio timeout 3600
ip inspect name DEFAULT100 smtp timeout 3600
ip inspect name DEFAULT100 tftp timeout 30
ip inspect name DEFAULT100 udp timeout 15
ip inspect name DEFAULT100 tcp timeout 3600
ip inspect name DEFAULT100 h323 timeout 3600
ip inspect name DEFAULT101 cuseeme
ip inspect name DEFAULT101 ftp
ip inspect name DEFAULT101 h323
ip inspect name DEFAULT101 netshow
ip inspect name DEFAULT101 rcmd
ip inspect name DEFAULT101 realaudio
ip inspect name DEFAULT101 rtsp
ip inspect name DEFAULT101 smtp
ip inspect name DEFAULT101 sqlnet
ip inspect name DEFAULT101 streamworks
ip inspect name DEFAULT101 tftp
ip inspect name DEFAULT101 tcp
ip inspect name DEFAULT101 udp
ip inspect name DEFAULT101 vdolive
ip inspect name DEFAULT101 icmp
ip ips po max-events 100
no ftp-server write-enable
!
!
!
! 
!
!
!
interface Ethernet0
 description $FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
interface BRI0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode annexb-ur2
 hold-queue 224 in
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 103 in
 ip nat outside
 ip inspect DEFAULT101 out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname **********
 ppp chap password ********** 
 ppp pap sent-username ********** password ********** 
 ppp ipcp dns request
 ppp ipcp wins request
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 6346 interface Dialer1 6346
ip nat inside source static udp 10.10.10.2 6346 interface Dialer1 6346
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662
ip nat inside source static udp 10.10.10.2 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.2 6881 interface Dialer1 6881
ip nat inside source static tcp 10.10.10.2 6882 interface Dialer1 6882
ip nat inside source static tcp 10.10.10.2 6883 interface Dialer1 6883
ip nat inside source static tcp 10.10.10.2 6884 interface Dialer1 6884
ip nat inside source static tcp 10.10.10.2 6885 interface Dialer1 6885
ip nat inside source static tcp 10.10.10.2 6886 interface Dialer1 6886
ip nat inside source static tcp 10.10.10.2 6887 interface Dialer1 6887
ip nat inside source static tcp 10.10.10.2 6888 interface Dialer1 6888
ip nat inside source static tcp 10.10.10.2 6889 interface Dialer1 6889
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit udp any eq domain any
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq 10000
access-list 101 permit tcp any any eq 1723
access-list 101 permit tcp any any eq 139
access-list 101 permit udp any any eq netbios-ns
access-list 101 permit udp any any eq netbios-dgm
access-list 101 permit gre any any
access-list 101 deny   ip any any
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 deny   ip 10.10.10.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny   ip 10.0.0.0 0.255.255.255 any
access-list 103 deny   ip 172.16.0.0 0.15.255.255 any
access-list 103 deny   ip 192.168.0.0 0.0.255.255 any
access-list 103 deny   ip 127.0.0.0 0.255.255.255 any
access-list 103 deny   ip host 255.255.255.255 any
access-list 103 deny   ip host 0.0.0.0 any
access-list 103 permit tcp any any eq 6346
access-list 103 permit udp any any eq 6346
access-list 103 permit tcp any any eq 4662
access-list 103 permit udp any any eq 4672
access-list 103 permit tcp any any eq 6881 6889
access-list 103 deny   ip any any log
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit tcp any any eq 6346
access-list 111 permit udp any any eq 6346
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 6881 6889
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end
```

----------


## leosedf

Λόγω του οτι δεν μπορεσα να δημιουργήσω καινούριο θέμα (μου έβγαζε ενα error) σας παραθέτω παρακάτω το ερώτημα μου:

Χέρετε.
Εχω το εξής πρόβλημα:
Βρισκόμαστε στη Σέρρες και στο νετ καφέ που εργάζομαι έχουμε jetspeed 500 με έκδοση 9χχχχ (χαμος)
DSL 1024 otenet.
Δούλευαν όλα τέλεια για πολύ καιρό αλλα τώρα τελαυταία συγκεκριμένα στο παιχνίδι Call of Duty το ping μου δεν ανεβάινει πάνω απο τα 200 με αποτέλεσμα να μή μπορεί να μπεί σε κανένα online game.
Εκτός αυτού το jetspeed  ανα τακτά διαστήματα κολλάει και δεν μπαίνει σε καμια σελίδα όλο το μαγαζι και το πρόβλημα λύτετε με reset  του modem.
Σκεφτήκαμε να αγοράσουμε ενα καινούριο μηχάνημα όπως το Cisco 837 το οποίο μου άρεσε πάρα πολύ.
Θα ήθελα τη γνώμη σας πάνω σε αυτό το μηχάνημα ή αν προτείνετε κάποιο άλλο της εταιρίας αυτής (καθ ότι εμπιστεύομαι τα cisco και πάντα ακούω καλά λόγια γι αυτά)

Ευχαριστώ

----------


## chatasos

lacbil,

Η γραμμή:


```
access-list 103 permit tcp any any eq 6881 6889
```

πρέπει να γίνει:


```
access-list 103 permit tcp any any range 6881 6889
```

όπως σου έγραψα και στο αρχικό post μου.

Από που το "τραβάς" το configuration του router και πως το αλλάζεις?

Πάντως το configuration που μου έχεις γράψεις αποκλείεται να είναι το "ενεργό" configuration του router γιατί δεν θα μπορούσε με τίποτα να περιλαμβάνει την παραπάνω λάθος εντολή.

ΥΓ: Τα inspection rules "myfw" & "DEFAULT100" δεν χρειάζονται αφού δεν βλέπω να τα χρησιμοποιείς σε κάποιο interface.

----------


## lacbil

Καλησπέρα! Το παραπάνω, προκειμένου να το σηκώσω στο παρόν thread, το τράβηξα με την εξής εντολή


```
copy startup tftp
```

 επιτυχημένα. Δεν μπορεί να μην είναι αυτό το ενεργό. 
Πάντως, δεν το έχω σηκώσει με 

```
copy tftp flash
```

 αλλά έχω κάνει το παραπάνω cfg file default του SDM (sdmconfig-83x.cfg) και κάνοντας απλά restore default (από SDM) φορτώνεται αυτό!

Ευχαριστώ πάντως για το range!

----------


## chatasos

Αν μπορείς να μπεις με telnet (ή console) στον router, δώσε ένα "show run" και κάντο paste εδώ να δούμε το "ενεργό" config.

Επίσης πρέπει να έχεις υπόψιν ότι από την στιγμή που αρχίζεις να πειράζεις το config του router μέσω του CLI, τα GUI απαγορεύονται γιατί θα μπλέξεις τα μπούτια σου.

ΥΓ: Ούτε η "access-list 111" βλέπω να χρησιμοποιείται κάπου.

----------


## lacbil

Παιδιά το κάτωθι εστί το ενεργό!



```
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname *********
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret *********
!
username ********* password *********
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   default-router 10.10.10.1 
   lease 0 2
!
!
ip name-server 195.170.0.1
ip name-server 195.170.2.2
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip inspect name DEFAULT100 cuseeme timeout 3600
ip inspect name DEFAULT100 ftp timeout 3600
ip inspect name DEFAULT100 rcmd timeout 3600
ip inspect name DEFAULT100 realaudio timeout 3600
ip inspect name DEFAULT100 smtp timeout 3600
ip inspect name DEFAULT100 tftp timeout 30
ip inspect name DEFAULT100 udp timeout 15
ip inspect name DEFAULT100 tcp timeout 3600
ip inspect name DEFAULT100 h323 timeout 3600
ip inspect name DEFAULT101 cuseeme
ip inspect name DEFAULT101 ftp
ip inspect name DEFAULT101 h323
ip inspect name DEFAULT101 netshow
ip inspect name DEFAULT101 rcmd
ip inspect name DEFAULT101 realaudio
ip inspect name DEFAULT101 rtsp
ip inspect name DEFAULT101 smtp
ip inspect name DEFAULT101 sqlnet
ip inspect name DEFAULT101 streamworks
ip inspect name DEFAULT101 tftp
ip inspect name DEFAULT101 tcp
ip inspect name DEFAULT101 udp
ip inspect name DEFAULT101 vdolive
ip inspect name DEFAULT101 icmp
ip ips po max-events 100
no ftp-server write-enable
!
!
!
! 
!
!
!
interface Ethernet0
 description $FW_INSIDE$
 ip address 10.10.10.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
interface BRI0
 no ip address
 shutdown
!
interface ATM0
 no ip address
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode annexb-ur2
 hold-queue 224 in
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
!
interface Dialer1
 description $FW_OUTSIDE$
 ip address negotiated
 ip access-group 103 in
 ip nat outside
 ip inspect DEFAULT101 out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname *********
 ppp chap password *********
 ppp pap sent-username ********* password *********
 ppp ipcp dns request
 ppp ipcp wins request
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.10.10.2 6889 interface Dialer1 6889
ip nat inside source static tcp 10.10.10.2 6888 interface Dialer1 6888
ip nat inside source static tcp 10.10.10.2 6887 interface Dialer1 6887
ip nat inside source static tcp 10.10.10.2 6886 interface Dialer1 6886
ip nat inside source static tcp 10.10.10.2 6885 interface Dialer1 6885
ip nat inside source static tcp 10.10.10.2 6884 interface Dialer1 6884
ip nat inside source static tcp 10.10.10.2 6883 interface Dialer1 6883
ip nat inside source static tcp 10.10.10.2 6882 interface Dialer1 6882
ip nat inside source static tcp 10.10.10.2 6881 interface Dialer1 6881
ip nat inside source static udp 10.10.10.2 4672 interface Dialer1 4672
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer1 4662
ip nat inside source static udp 10.10.10.2 6346 interface Dialer1 6346
ip nat inside source static tcp 10.10.10.2 6346 interface Dialer1 6346
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit udp any eq domain any
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq 10000
access-list 101 permit tcp any any eq 1723
access-list 101 permit tcp any any eq 139
access-list 101 permit udp any any eq netbios-ns
access-list 101 permit udp any any eq netbios-dgm
access-list 101 permit gre any any
access-list 101 deny   ip any any
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 deny   ip 10.10.10.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny   ip 10.0.0.0 0.255.255.255 any
access-list 103 deny   ip 172.16.0.0 0.15.255.255 any
access-list 103 deny   ip 192.168.0.0 0.0.255.255 any
access-list 103 deny   ip 127.0.0.0 0.255.255.255 any
access-list 103 deny   ip host 255.255.255.255 any
access-list 103 deny   ip host 0.0.0.0 any
access-list 103 permit tcp any any eq 6346
access-list 103 permit udp any any eq 6346
access-list 103 permit tcp any any eq 4662
access-list 103 permit udp any any eq 4672
access-list 103 permit tcp any any range 6881 6889
access-list 103 deny   ip any any log
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit tcp any any eq 6346
access-list 111 permit udp any any eq 6346
access-list 111 permit tcp any any eq 4662
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any range 6881 6889
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
 transport preferred all
 transport input all
 transport output all
!
scheduler max-task-time 5000
!
end
```




> ΥΓ: Ούτε η "access-list 111" βλέπω να χρησιμοποιείται κάπου.


Τι εννοείς παραπάνω φίλτατε;

----------


## chatasos

Apό ότι βλέπω μερικά inspection rules και λίστες δεν χρησιμοποιούνται, οπότε μπορείς να τα σβήσεις δίνοντας τις παρακάτω εντολές μέσα από "conf t":



```
no ip inspect name myfw
no ip inspect name DEFAULT100
no access-list 101
no access-list 111
```

Κατά τα άλλα ποιο *ακριβώς* είναι το πρόβλημα που έχεις?

----------


## lacbil

Συγνώμη που σε παιδεύω και σε ευχαριστώ για την "υποστήριξη". 

Το πρόβλημα είναι ότι, παρ' όλες τις "αναβαθμίσεις" στο παραπάνω run, ακόμα το routerάκι "κόβει"  4662 ή 688x packets, τα downloads φτάνουν το πολύ τα 3kBps (συνολικά) και τα αντίστοιχα p2p clients μου βγάζουν μηνύματα "ΠΙΘΑΝΩΣ ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ FIREWALL". (εμφανίζεται και με απενεργοποιημένο το Softwarικό firewall!)  :Sad:

----------


## wintech2003

Να σου πω..

Θές να σου στειλω το δικό μου, που παιζει jet με emule, και να εισαι ΟΚ?  :Smile: 

Και γνώμη μου.. ξέχνα τα firewall rules που φτιάχνει το SDM κτλ..

Δεν χρειάζονται.. ή τουλάχιστον όχι για οικιακή χρήση.

Αν ειναι τοσο σοβαρό να βάλεις firewall, βάλε ενα PIX..

----------


## chatasos

> Συγνώμη που σε παιδεύω και σε ευχαριστώ για την "υποστήριξη". 
> 
> Το πρόβλημα είναι ότι, παρ' όλες τις "αναβαθμίσεις" στο παραπάνω run, ακόμα το routerάκι "κόβει"  4662 ή 688x packets, τα downloads φτάνουν το πολύ τα 3kBps (συνολικά) και τα αντίστοιχα p2p clients μου βγάζουν μηνύματα "ΠΙΘΑΝΩΣ ΕΝΕΡΓΟΠΟΙΗΜΕΝΟ FIREWALL". (εμφανίζεται και με απενεργοποιημένο το Softwarικό firewall!)


Πως το βλέπεις ότι κόβει τα παραπάνω πακέτα?

----------


## lacbil

Μέσω αντίστοιχων μηνυμάτων που "πετάγονται" μόνα τους στο hyperterminal (console).
Δηλαδή,
list 1xx denied ip_address (6346) -> ... (ή αντίστροφα)
ή list 1xx denied ip_address (4662) -> ... (ή αντίστροφα), 
ή list 1xx denied ip_address (688x) -> ... (ή αντίστροφα).

----------


## chatasos

Θα ήθελα τα ΑΚΡΙΒΗ μηνύματα  :Wink:  
όπως βγαίνουν ΤΩΡΑ...

----------


## lacbil

3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 212.242.202.190(25531) -> 83.235                                                                                
.232.216(1046), 1 packet                        
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 212.242.202.190(25539) -> 83.235                                                                                
.232.216(1046), 1 packet                        
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 212.242.202.190(25548) -> 83.235                                                                                
.232.216(1046), 1 packet                        
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 201.243.107.213(59983) -> 83.235                                                                                
.232.216(1046), 1 packet                        
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 81.178.194.52(3629) -> 83.235.23                                                                                
2.216(1046),          
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 83.235.234.145(3872) -> 83.235.2lex auto            
. 
 speed auto, 1              
! 
3d14h: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 13 packe
ts
3d14h: %FW-4-ALERT_ON: getting aggressive, count (173/500) current 1-min rate: 5
01
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 82.253.223.59(4662) -> 83.235.23
2.216(3754), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 83.38.14.92(4665) -> 83.235.232.
216(3917), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 80.33.166.247(4662) -> 83.235.23
2.216(3923), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 82.253.99.11(53284) -> 83.235.23
2.216(3927), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 62.219.117.149(4662) -> 83.235.2
32.216(3933), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 84.97.194.229(4662) -> 83.235.23
2.216(3938), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 217.228.171.172(2458) -> 83.235.
232.216(3950), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 81.60.143.194(4662) -> 83.235.23
2.216(3919), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 83.38.14.92(4665) -> 83.235.232.
216(3917), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 213.231.102.159(4662) -> 83.235.
232.216(3963), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 217.86.144.142(4660) -> 83.235.2
32.216(4073), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 80.201.13.146(13600) -> 83.235.2
32.216(4064), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 68.253.228.158(13484) -> 83.235.
232.216(4067), 1 packet
3d14h: %FW-4-ALERT_OFF: calming down, count (129/400) current 1-min rate: 397
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 172.211.107.23(1097) -> 83.235.2
32.216(4087), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 201.243.107.213(50935) -> 83.235
.232.216(1046), 1 packet
3d14h: %FW-4-ALERT_ON: getting aggressive, count (127/500) current 1-min rate: 5
01
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 82.253.99.11(53284) -> 83.235.23
2.216(4118), 1 packet
3d14h: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 121 pack
ets
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied tcp 62.166.9.105(6346) -> 83.235.232
.216(4122), 1 packet
3d14h: %SEC-6-IPACCESSLOGP: list 103 denied udp 65.185.131.173(2144) -> 83.235.2
32.216(137), 1 packet
3d14h: %SEC-6-IPACCESSLOGRP: list 103 denied igmp 62.103.3.229 -> 224.0.0.1, 1 p
acket

κ.ο.κ.

Σε πολλά, όπως φαίνεται, "κόψιμο" 4662.

----------


## chatasos

Είσαι σίγουρος ότι έχεις ορίσεις την σωστή πόρτα στα p2p προγράμματά σου?
Μπορείς να δοκιμάσεις με το bittorrent?

Θα μπορούσες να προσθέσεις την παρακάτω γραμμή στην access-list 103, πριν το τελευταίο deny για να επιτρέπεις τα requests που έχουν source την 4662, αλλά κανονικά δεν θα έπρεπε να χρειαζόταν αν είχες ορίσει σαν incoming πόρτα την 4662 στο πρόγραμμα σου.


```
access-list 103 permit tcp any eq 4662 any
```

----------


## chatasos

Επίσης πρόσθεσε τις παρακάτω 2 εντολές στο config για να είναι πιο "εύκολη" η ανάγνωση των logs:


```
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
```

----------


## lacbil

Καλησπέρα!
Γνωρίζει κανείς αν παίζει μήπως τίποτα με καινούρια έκδοση IOS;

----------


## zlimvos

Τα συγχαρητηρια μου στο 'thread'
απο δω ειδα την εντολη 'ip virtual-reassembly' που μου λυσε τα χερια
τωρα μενει να διαβασω και τι κανει

----------


## lacbil

Οι πιο έμπειροι και τουλάχιστον οι επι των Cisco "μορφωμένοι" πιστεύω μπορεί να βοηθήσουν πολύ αποτελεσματικά εμένα και άλλους παιδευόμενους με τα εν λόγω routers.
Please help!!!

Επιστροφή στα πιο ουσιαστικά με ερωτήσεις:

-> Εφόσον επιθυμούμε να αλλάξουμε το password μας, πως γίνεται να περάσουμε το κωδικοποιημένο νέο password στο υπάρχον .cfg αρχείο μας; Τσεκάρουμε αυτό που προκύπτει από αλλαγή μέσω CRWS;

-> Για να έχει ισχύ η εντολή " ip nat inside source static tcp 10.10.10.2 6346 interface Dialer1 6346 " θα πρέπει να MHN χρησιμοποιείται DHCP; Δηλαδή, θα πρέπει ο υπολογιστής να έχει τη στατική 10.10.10.2; 

-> Το "factory settings" του CRWS είναι στην ουσία το ConfigExp.cfg που βρίσκεται στην webflash;

-> To sdmconfig-83x.cfg, που βρίσκεται τόσο στη flash όσο και στη webflash τι ρόλο βαράει; Μήπως είναι περιττό στη flash;

-> Μετά από αλλαγές π.χ. στο CRWS ενημερώνεται ΑΥΤΟΜΑΤΑ το startup-config;;; 

-> Ένα νέο .cfg αρχείο το ανεβάζουμε ως τι; ως ConfigExp.cfg στη webflash ή και στο startup;

-> Το πρόβλημα με είσοδο στο CRWS από υπολογιστή με εγκατεστημένη τη Java Sun έχει επιλυθεί; Ίσως από νεότερη έκδοση;

-> Δουλειά του ipconfig /release και /renew από run > cmd είναι μόνο η ανάθεση νέας ip από το router ή και από τον internet provider;

Αν και έχει υπάρξει στο παρελθόν αντίστοιχο thread, θα μπορούσε κάποιος πεπειραμένος, να ανεβάσει το για καιρό δοκιμασμένo (και με δυνατότητες προστασίας από firewall φυσικά) του config file.

----------


## lacbil

Καμιά απάντηση σε καμιά από τις παραπάνω ερωτήσεις; Υποθέτω ταλαιπωρούν αρχάριους "φιλόδοξους Ciscoδιαχειριστές" και όχι μόνο!

----------


## chatasos

> -> Για να έχει ισχύ η εντολή " ip nat inside source static tcp 10.10.10.2 6346 interface Dialer1 6346 " θα πρέπει να MHN χρησιμοποιείται DHCP; Δηλαδή, θα πρέπει ο υπολογιστής να έχει τη στατική 10.10.10.2;


Δεν έχει σημασία αν χρησιμοποιείς dhcp ή όχι. Στο nat αυτό που έχει σημασία είναι η ip, είτε την δηλώσεις στατικά είτε την πάρεις δυναμικά. Απλά η στατική δήλωση βολεύει περισσότερο μερικές φορές.

Στα υπόλοιπα δυστυχώς δεν μπορώ να σε βοηθήσω...

----------


## sergiosp

> Λόγω του οτι δεν μπορεσα να δημιουργήσω καινούριο θέμα (μου έβγαζε ενα error) σας παραθέτω παρακάτω το ερώτημα μου:
> 
> Χέρετε.
> Εχω το εξής πρόβλημα:
> Βρισκόμαστε στη Σέρρες και στο νετ καφέ που εργάζομαι έχουμε jetspeed 500 με έκδοση 9χχχχ (χαμος)
> DSL 1024 otenet.
> Δούλευαν όλα τέλεια για πολύ καιρό αλλα τώρα τελαυταία συγκεκριμένα στο παιχνίδι Call of Duty το ping μου δεν ανεβάινει πάνω απο τα 200 με αποτέλεσμα να μή μπορεί να μπεί σε κανένα online game.
> Εκτός αυτού το jetspeed  ανα τακτά διαστήματα κολλάει και δεν μπαίνει σε καμια σελίδα όλο το μαγαζι και το πρόβλημα λύτετε με reset  του modem.
> Σκεφτήκαμε να αγοράσουμε ενα καινούριο μηχάνημα όπως το Cisco 837 το οποίο μου άρεσε πάρα πολύ.
> ...


τα jetspeed έχουν πρόβλημα με το nat,αλλαξέ το με το 837 (για oPSTN)αποκλείεται να κολάει

----------


## DVader

Ασχετο αλλά για το σπίτι θέλω ενα CISCO..Που μπορώ να το βρω...πάντως.. :Thinking:

----------


## pavlidisd

Με το 837 που έχω είμαι πολύ ευχαριστημένος. Κρίμα που είναι για ADSL1. Τώρα είμαι με την βλακεία το Fritz.

Και ψάχνω να το δώσω αν ενδιαφέρεται κανείς...

----------

