ciao a tutti...
che cosa è di preciso un device filter?
lo tovo sugli zyxel 650r..
inoltre ho provato a vietare il ping interno verso il router...
il tutto funziona..
ovvero non riesco a pingarlo.. ma pingo gli host..
il problema è che adesso non pingo, non iesco a fare telnet e nemmeno entrare via web sul router..
deve resettare..
consigli?
grazie ciao
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
I device filter bloccano i frame a livello 2 e quindi sull'interfaccia senza andare a scomodare i protocolli, mentre i protocol filter permettono il passaggio dei frame ma filtrano i dati in base al protocollo scelto.
Che filtro hai settato per impedire il ping al router dall'interno? L'ideale e` impostare un filtro per bloccare gli icmp in toto (protocol 1) e bindarlo alla ethernet.
Attenzione: devi settarlo in modo che lasci passare tutto tranne gli icmp, quindi nel filter set dovrai avere un action matched-drop, action not matched-forward riguardo al protocol 1, volendo discriminando fra gli indirizzi sorgente.
Sicuramente hai l'accesso bloccato perche` gli hai detto si` di bloccare gli icmp ma non di lasciar passare gli altri.
caxxo ecco dove sbagliavo!!action not matched-forward
io mettevo check next rules...
ma se di altre regole non ne ho che fa? droppa il pacchetto?
credevo che i device filter erano legati ai filtri generic e non TCP/IP..
quindi prima credo il filtro nel menu 21
edito le regole (da 1 a 6) e poi vado li e applico il filtro in uscita o entrata sulle ethernet.. è corretto?
ma se io creo e attivo dei filtri se non li applico all'interfaccia vanno lo stesso?
se volessi mettere il filtro sulla Wan? dove vado in remote node setup??
grazie mille mod..
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
EsattoOriginariamente inviato da indre
caxxo ecco dove sbagliavo!!
io mettevo check next rules...
ma se di altre regole non ne ho che fa? droppa il pacchetto?
Ma infatti, per generic si intendono proprio i device filter.. se ci fai caso, nel momento in cui scegli generic e dai invio, il menu viene cambiato e puoi inserire la struttura del frame (e qui diventa complicato, perche` dovresti prima sniffare per capire cosa bloccare).credevo che i device filter erano legati ai filtri generic e non TCP/IP..
Oh yes, nel tuo caso per bloccare i ping al router devi creare un filtro icmp (procotol 1) e poi applicarlo in entrata alla ethernet. Ricorda di lasciar passare gli altri pacchetti!quindi prima credo il filtro nel menu 21
edito le regole (da 1 a 6) e poi vado li e applico il filtro in uscita o entrata sulle ethernet.. è corretto?
No, la sola creazione non basta, devi anche applicarli a un'interfaccia dai menu 3 o 11ma se io creo e attivo dei filtri se non li applico all'interfaccia vanno lo stesso?
Esatto. Menu 3.1 per la ethernet, menu 11.5 per la wanse volessi mettere il filtro sulla Wan? dove vado in remote node setup??
grazie mille mod..
grazie...dott. zyxel--
ciao
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
ciao..
rieccomi..
ancora sui filtri del ping e http
ho un problema..
io voglio evitare avendo creato degli ip aliases di usare il ping e di poter andare via http sul web server interno ad un particolare host interno..
ora ho creato ip alias e funziona..
ho creato i filtri ma ad esempio per il ping (ip protocol 1) quando inserisco l'indirizzo di sorgente mi dice una volta che confermo (invalid source address) ???
come mai..??
nessuno riesca a postarmi una conf funzionante per zyxel per vietare il ping all'interno della lan da un host particolare verso un altro (anche http)...
i filtri che appiccio sul menu 11 riguardano le connessioni che dall'esterno arrivano verso la mia lan giusto??
grazie a tutti..
sto facendo delle prove e alcune cose mi sono ancora un po oscure di questi router zxyel..
(nello specifico è il zyari b-1000 con 4 porte eth)
ciao
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
Nella config dei filtri sei sicuro di aver messo la stessa maschera per sorgente e destinatario? E prima, quando hai creato gli alias, hai messo gli indirizzi su una subnet diversa da quella primaria?Originariamente inviato da indre
ora ho creato ip alias e funziona..
ho creato i filtri ma ad esempio per il ping (ip protocol 1) quando inserisco l'indirizzo di sorgente mi dice una volta che confermo (invalid source address) ???
No. I filtri del menu 11 riguardano le connessioni della wan, che poi i filtri vengano messi in entrata o in uscita lo devi decidere tu. Idem per il menu 3 che riguarda l'etherneti filtri che appiccio sul menu 11 riguardano le connessioni che dall'esterno arrivano verso la mia lan giusto??
Menu 3
lan input filter set: pacchetti in arrivo alla lan del router
lan output filter set: pacchetti in uscita dalla lan del router
Menu 11
wan input filter set: pacchetti in arrivo alla wan del router
wan output filter set: pacchetti in uscita dalla wan del router
Ad esempio, per controllare i pacchetti che dall'esterno arrivano verso la wan puoi mettere un filtro sul wan input oppure sul lan output.. cosa che se ci pensi su non e` esattamente lo stesso: nel primo caso i pacchetti vengono controllati prima dell'ingresso al router.
Se invece vuoi controllare i pacchetti che dalla lan vanno all'esterno puoi mettere un filtro sul lan input oppure sul wan output.. idem con patate per la differenza.
le subnet sono corrette..Nella config dei filtri sei sicuro di aver messo la stessa maschera per sorgente e destinatario? E prima, quando hai creato gli alias, hai messo gli indirizzi su una subnet diversa da quella primaria?
come indirizzi ho
1 pc 192.168.1.10/24
2 pc 192.168.2.10/24
il router ha ip 192.168.1.1 e come alias ip 192.168.2.1
ora ho creato il filtro che vieta di andare sul web server dal pc 192.168.1.10 al 192.168.2.20.. io l'ho applicata in lan input ok?
dopo lo testo..
ma per il ping.. ho messo protocollo 1 ma come porta lascio bianco o metto 0..??
tu dici che mi dice ip non validi perchè hanno la stessa subnet???
ma mi spieghi visto che li mangi i router zyxel a che cosa serve il menu 11
Remote node setup???
non lo capisco..
quindi i filtri tu li metti sul menu 4 e non nell'11??
ciao
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
In lan input sul 192.168.2.20 e come sorgente 192.168.1.10, yesOriginariamente inviato da indre
le subnet sono corrette..
come indirizzi ho
1 pc 192.168.1.10/24
2 pc 192.168.2.10/24
il router ha ip 192.168.1.1 e come alias ip 192.168.2.1
ora ho creato il filtro che vieta di andare sul web server dal pc 192.168.1.10 al 192.168.2.20.. io l'ho applicata in lan input ok?
dopo lo testo..
Non cambia niente, l'importante e` lasciare su none il port comparema per il ping.. ho messo protocollo 1 ma come porta lascio bianco o metto 0..??
Attimo. Una cosa e` la subnet e l'altra e` la subnet mask. La subnet dev'essere diversa, nel senso che non puoi filtrare sotto la stessa subnet (quindi e` giusto come hai fatto tu creando una subnet 192.168.1.0 e una 192.168.2.0 configurate con gli alias), ma nella config dei filtri la subnet mask dev'essere identica tra sorgente e destinatario, se no non sa che pesci pigliare.. pero` da quel che ho visto hai fatto tutto correttamente e non mi spiego quell'errore.tu dici che mi dice ip non validi perchè hanno la stessa subnet???
Io mangio solo cisco, gli zyxel mi stanno sinceramente sulle palle. Comunque il menu 11 serve a configurare, per quanto riguarda i filter set, i filtri sul lato wan.ma mi spieghi visto che li mangi i router zyxel a che cosa serve il menu 11
Remote node setup???
non lo capisco..
Scusami, ho scritto male.. quel 4 era un 11. Vado a editare.quindi i filtri tu li metti sul menu 4 e non nell'11??
ciao
ciao ..
o sommo...
ma mi sai dire che vuol dire il menu ip policing routing??
che serve di preciso?
e il remote node stup?
dove inserisco l'ip fisso del router (WAN)??
grazie mille..
ciao
When I was young I used to pray for a bike. Then I realized that God doesn't work that way. So I stole a bike and prayed for forgiveness.
Permessi di invio
Rispondi quotando