Configurazione
dhcp enable
vlan 200
description VLAN_DATI
interface Vlanif200
description Interfaccia LAN
ip address 192.168.200.1 255.255.255.0
zone LAN
dhcp select global
interface Ethernet0/0/0
set flow-stat interval 30
#
interface Ethernet0/0/0.835
pppoe-client dial-bundle-number 100
description WAN GBE link TGU : 0245xxxxxx
dot1q termination vid 835
In questa sezione si imposta l’interfaccia fisica VDSL con la vlan data dal proprio operatore e l’associazione al Dialer
interface Dialer100
link-protocol ppp
ppp chap user aliceadsl
ppp chap password cipher <password>
ppp pap local-user aliceadsl password cipher <password>
ppp ipcp dns admit-any
ppp ipcp dns request
tcp adjust-mss 1200
ip address ppp-negotiate
dialer user arweb
dialer bundle 100
dialer-group 100
nat server protocol tcp global current-interface 4662 inside 192.168.200.10 4662
nat server protocol udp global current-interface 4672 inside 192.168.200.10 4672
nat server protocol udp global current-interface 4665 inside 192.168.200.10 2665
nat outbound 2998
zone WAN
ntp-service multicast-client
dialer-rule
dialer-rule 100 ip permit
ip route-static 0.0.0.0 0.0.0.0 Dialer100
firewall zone LAN
priority 14
#
firewall zone WAN
priority 10
#
firewall zone Local
#
firewall interzone LAN WAN
firewall enable
packet-filter 3010 inbound
#
firewall interzone Local LAN
#
firewall interzone Local WAN
firewall enable
packet-filter 3035 outbound
packet-filter 2035 inbound
#
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
acl number 2035
description NTP PROTECT
rule 5 permit source 217.27.80.36 0
rule 10 permit source 62.77.57.196 0
rule 15 deny
acl name Ethernet0/0/0.835 2998
rule 5 permit
#
acl number 3010
description ACL firewall porte in ingresso WAN LAN
rule 10 permit tcp destination-port eq 4662
rule 20 permit udp destination-port eq 4672
rule 30 permit udp destination-port eq 4665
acl number 3035
description ACL VOIP
rule 10 permit udp source-port eq 5060 destination-port eq 5060
ntp-service source-interface Dialer100
ntp-service unicast-server 217.27.80.36
ntp-service unicast-peer 62.77.57.196
Interfaccia Dialer che io ho battezzato 100 così come il dialer-group.
Ho aperto delle porte verso un ip interno
ho applicato l’ACL 2998 per il nat
Ho inserito l’interfaccia nella zona firewall che ho chiamato WAN
Firewall a zone.
Creo una zona che ho battezzato LAN con priorità più alta rispetto alla zona che ho chiamato WAN.In questo modo il traffico verso la zona più bassa è DENY di default verso lla LAN e PERMIT per le sessioni che nascono dalla Lan. La zona Local ( priority 15 default) è quella di fabbrica che rappresenta il sistema del router (come zona self su Cisco)(senza acl che lo permette non si può accedere ad esempio al ssh nemmeno da lan, se si applica il firewall alla interzona Lan Local). Creo poi le interzone che mi interessano ed applico le ACL per stabilire le regole nelle interzone
ACL
2035 protegge NTP
acl 3010: oltre all’apertura porte sull’interfaccia di nat, avendo attivo un firewall in ingresso nella zona WAN LAN devo permettere traffico che dall’esterno punta a quelle porte.
acl 3035 permette ingresso traffico voip su porta 5060