Cisco 1700

[xcom-killer]

Пытаюсь настроить Cisco 1700 для работы в режиме файрвола. Всё сделано по описанию. Создано правило 105 (пока в интерфейс не вносил), rcmd настроен. Но проблема в том, что при выполнении rsh даже со строки кошки по команде debug ip tcp rcmd информации ноль. Строка после rsh перескакивает дальше. Такое чувство, что rsh вобще в отключке.
Вот конф кусками .....
Building configuration...

Current configuration : 4527 bytes
!
! Last configuration change at 16:49:36 UTC Thu Sep 18 2008 by admin
! NVRAM config last updated at 17:29:58 UTC Wed Sep 17 2008 by admin
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
no service dhcp
!
hostname XXXXXX
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
enable password 7 XXXXXXXXXXXXX
!
aaa new-model
!
!
aaa authentication username-prompt login:
aaa authentication login default local
aaa authentication login local_auth local
aaa authentication ppp default group radius
aaa authorization exec default local if-authenticated
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
aaa session-id common
no ip source-route
no ip gratuitous-arps
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
ip flow-egress input-interface
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
no ip bootp server
ip domain name XXXXXXXX
ip name-server XXX.XXX.XXX.XXX
i
!
!
!
!
username admin privilege 5 password 7 XXXXXXXXXXXXXX
username init privilege 8 password 7 XXXXXXXXXXXXXXXXXXXXXXXX
!
!
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd remote-host init XXX.XXX.XXX.XXX init enable
ip rcmd remote-username init
!
!
!
!
interface FastEthernet0/0
description LocalNet
ip address XXX.XXX.XXX.XXX 255.255.255.128
ip access-group 2 in
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache same-interface
speed auto
full-duplex
!
interface Serial0/0
bandwidth 2000
ip address XXX.XXX.XXX.XXX 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
shutdown
!
interface Ethernet1/0
description Internet
ip address XXX.XXX.XXX.XXX 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
full-duplex
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
ip flow-export version 5
ip flow-export destination XXX.XXX.XXX.XXX 9996
!
no ip http server
no ip http secure-server
ip nat pool NATPool XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX prefix-length 24
ip nat inside source list 1 pool NATPool overload
ip nat inside source static tcp XXX.XXX.XXX.XXX 25 XXX.XXX.XXX.XXX 25 extendable
..........
!
access-list 1 permit XXX.XXX.XXX.XXX 0.0.0.255
............
access-list 2 permit XXX.XXX.XXX.XXX 0.0.0.255
.............
access-list 105 dynamic TEST1 permit ip any any
no cdp run
!
control-plane
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear
!
line con 0
exec-timeout 5 0
login authentication local_auth
transport output telnet
line aux 0
login authentication local_auth
transport output telnet
line vty 0 4
password 7 05000C08274248
login authentication local_auth
transport input telnet ssh
!
ntp clock-period 17208126
ntp server 193.125.143.173
ntp server 80.249.135.2
ntp server 77.234.200.98
ntp server 89.108.124.4
ntp server 85.21.125.66
end

rfw в логах соответственно пишет :

?Debug : Sep 18 20:30:11 FWCntl: Send rule<clear access-template 105 ip host XXX.XXX.XXX.XXX any> to remote cisco <XXX.XXX.XXX.XXX>
?Debug : Sep 18 20:30:11 FWCntl: Call RSH: host XXX.XXX.XXX.XXX, port 514, login init, pass XXXXXXXXXXXXXX, cmd clear access-temp
ERROR : Sep 18 20:30:11 FWCntl: RSH Connection error!
ERROR : Sep 18 20:30:11 FWCntl: RSH failed!

Я в принципе почемуто грешу на команды aaa они мне достались по наследству. Кошка в роли NAS не выступает.

Вобщем мозги закипели .............Кто подскажет куда копать ???

[DEW]

У меня такая же беда но с cisco 2801,

username init privilege 8 password 7 XXXXXXXXXXXXXXXXXXXXX

здесь "init" - это что за логин? где он прописан в конфиге биллинга?, ну и пароль соответственно?. Я читал руководство, но что-то не разобрался

[Chrst]

У меня такая же беда но с cisco 2801,

username init privilege 8 password 7 XXXXXXXXXXXXXXXXXXXXX

здесь "init" - это что за логин? где он прописан в конфиге биллинга?, ну и пароль соответственно?. Я читал руководство, но что-то не разобрался

Через админпанель Настройки-Список брандмауэров.

[Dimson]

ip rcmd remote-host init XXX.XXX.XXX.XXX init enable

Из мануала:

Remote login, используемый при авторизации по rsh. Только для типа брандмауэра Remote Cisco.
В качестве local login всегда передается netup.

[DEW]

Разобрался с циской, спасибо. Теперь не знаю как в админке в одну строчку забить две команды :

access-template 105 test1 host UIP any
access-template 106 test2 any host UIP

Если забивать их в строчку через ";", то выполняется только первое правило... кто поможет насчет синтаксиса? Если руками посылать по очереди, то все отлично работает.

[mikkey finn]

два правила привязать к фаерволу. Будет выполнять оба последовательно.

[DEW]

пробывал.. создавал два правила, в первом на включение ставил -

access-template 105 test1 host UIP any

на отключение :

clear access-template 105 test1 host UIP any

Во втором на включение -

access-template 106 test2 any host UIP

и на отключение

clear access-template 106 test2 any host UIP

Ничего не получилось. Все равно выполняется только одно правило - первое(

[Dimson]

А если сравнить 1-ое правило и 2-ое?
Галочки выставить нужные (Все пользователи)...
ID брандмауэра поставить...
На циске debug ip tcp rcmd включить, посмотреть какие правила сыпятся... ну и лог rfw тоже =)

[DEW]

90.90.90.1 - cisco
90.90.90.25 - user (UIP)

В админке настроены оба правила идентично... и брандмауэр и все остальное.

Логи с rfw:

Info : Dec 08 13:28:29 UTM5 Logger: New ` Info : ' stream: /netup/utm5/log/rfw.log
Info : Dec 08 13:28:29 UTM5 Logger: New `?Debug : ' stream: /netup/utm5/log/rfw.log
Info : Dec 08 13:28:29 UTM5 Logger: New `?Debug : ' stream: /netup/utm5/log/rfw.log
Info : Dec 08 13:28:29 StreamConnection: Connection thread started. Peer 127.0.0.1:12758
Info : Dec 08 13:28:29 StreamConnection: Connection thread started. Peer 127.0.0.1:12758
?Debug : Dec 08 13:28:29 StreamConnection: Connection using TCP socket
?Debug : Dec 08 13:28:29 StreamConnection: System message recived
?Debug : Dec 08 13:28:29 StreamConnection: Challenge response sent
?Debug : Dec 08 13:28:29 StreamConnection: System message recived
Info : Dec 08 13:28:29 StreamConnection: Connection successfully authorized, user id <-4>
Info : Dec 08 13:28:29 StreamConnection: Connection successfully authorized, user id <-4>
?Debug : Dec 08 13:28:29 StreamFirewall: Sending name: Cisco5
?Debug : Dec 08 13:28:39 StreamFirewall: Got 'exec' command...
?Debug : Dec 08 13:28:39 FWCntl: Send rule<access-template 105 test1 host 90.90.90.25 any> to remote cisco <90.90.90.1>
?Debug : Dec 08 13:28:39 FWCntl: Call RSH: host 90.90.90.1, port 514, login test, pass 111, cmd access-template 105 test1 host 90.90.90.25 any
Notice: Dec 08 13:28:39 FWCntl: Can't shutdown(rfd) while recv data from rsh soscket ... Error:<Bad file descriptor>
Notice: Dec 08 13:28:39 FWCntl: Can't shutdown(rfd) while recv data from rsh soscket ... Error:<Bad file descriptor>
Notice: Dec 08 13:28:39 FWCntl: Can't shutdown(sock) while recv data from rsh soscket ... Error:<Bad file descriptor>
Notice: Dec 08 13:28:39 FWCntl: Can't shutdown(sock) while recv data from rsh soscket ... Error:<Bad file descriptor>
?Debug : Dec 08 13:28:39 StreamFirewall: Got 'exec' command...
?Debug : Dec 08 13:28:39 FWCntl: Send rule<access-template 106 test2 any host 90.90.90.25> to remote cisco <90.90.90.1>
?Debug : Dec 08 13:28:39 FWCntl: Call RSH: host 90.90.90.1, port 514, login test, pass 111, cmd access-template 106 test2 any host 90.90.90.25
ERROR : Dec 08 13:28:39 FWCntl: RSH Connection error!
ERROR : Dec 08 13:28:39 FWCntl: RSH Connection error!
ERROR : Dec 08 13:28:39 FWCntl: RSH failed!

[Dimson]

ERROR : Dec 08 13:28:39 FWCntl: RSH Connection error!
ERROR : Dec 08 13:28:39 FWCntl: RSH Connection error!
ERROR : Dec 08 13:28:39 FWCntl: RSH failed!

А это ни о чем не говорит?

[DEW]

Блин, говорит.. а из-за чего такое может быть? Где косяк? если это так элементарно, то ткните меня мордой чтоли ..

[Dimson]

По ману циску сконфигурировать нужно...
Мой первый пост в этой теме прочитать...
rfw от кого запущен?
show access-lists 105 что показывает, правило первое прописывает?

[DEW]

кидаю конфигу циски и то что появляется после применения правил.. 105-проходит, а 106 - нет. ну это и так понятно было.. а почему?

ciscotest#show access-lists 105
Extended IP access list 105
10 Dynamic test1 permit ip any any
permit ip host 90.90.90.25 any (12 matches)
20 permit ip host 90.90.90.10 any (2020 matches)
ciscotest#show access-lists 106
Extended IP access list 106
10 Dynamic test2 permit ip any any
20 permit ip any host 90.90.90.10 (20 matches)



Конфига циски:


show run
Building configuration...

Current configuration : 2186 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname ciscotest
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$7pDl$zrLbXFAW23vqY6QOWf9Y5.
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
ip cef
!
!
!
!
no ip bootp server
ip domain name yourdomain.com
!
username test privilege 15 secret 5 $1$8G.2$bA.0PLQsjhyu3c8dG36Ck0
!
!
ip tcp synwait-time 10
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host test 90.90.90.10 netup enable
ip rcmd remote-host test 90.90.90.10 root enable
!
!
interface FastEthernet0/0
description Local
ip address 90.90.90.1 255.255.255.0
ip access-group 105 in
ip access-group 106 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description Wan
ip address 10.190.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
ip flow-export version 5
ip flow-export destination 90.90.90.10 9996
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
access-list 105 dynamic test1 permit ip any any
access-list 105 permit ip host 90.90.90.10 any
access-list 106 dynamic test2 permit ip any any
access-list 106 permit ip any host 90.90.90.10
no cdp run
!
control-plane
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 clear

[Dimson]

дебаг циски
Если терминалом, то:

Код: Выделить всё

#terminal monitor
#debug ip tcp rcmd

Посылаем правило и смотрим, что пишет дебаг
потом обязательно отключить дебаг:

Код: Выделить всё

#no debug ip tcp rcmd

[DEW]

Посылаем правило и смотрим, что пишет дебаг

как это можно посмотреть? если show debug, то :
ciscotest#show debugging

TCP:
RCMD transactions debugging is on

больше ничего...