NTP i syslog na Cisco ruteru

[Anonymous]

1. kako bi trebalo da se namesti cisco ruter da odrzava svoj clock sa nekim serverom preko ntp-a?

2. kako se podesava da ruter salje svoje logove na neki host na mrezi preko syslog-a, i da li je taj ruterov syslog isto sto (odn. kompatibilno) kao i syslogd koji je aktivan na nekom Linuxu kome ruter salje te logove?

[Marko]

1. Najjednostavnije je ovako:

conf term
ntp server ip.adresa.servera source source_interfejs prefer

Source interfejs je interfejs sa cijom IP adresom zelis da kontaktiras server.

2.
conf term
logging facility ovde_napises_facility
logging 192.168.1.1

Sa logging facility ces podesiti pod kojim facilityjem (vidi man syslog) ce ruter da loguje, a narednom komandom mu kazes da loguje na syslog na adresi 192.168.1.1.

Cisco syslog je kompatibilan u smislu da ume da "prica" sa standardnim syslogom, a logovi su nesto drugacijeg izgleda, mada ne preterano razliciti. Na primer:

00:00:02: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvram
00:00:08: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
00:00:08: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up
00:00:08: %LINK-3-UPDOWN: Interface Serial2/0, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/1, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/2, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/3, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/4, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/5, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/6, changed state to down
00:00:08: %LINK-3-UPDOWN: Interface Serial2/7, changed state to down
00:00:08: %SYS-5-CONFIG_I: Configured from memory by console
00:00:09: %SYS-5-RESTART: System restarted --

[Anonymous]

Hvala.

3. kako da logujem poklapanja sa pravilima u access-listama? primer blokiram sa "deny tcp any any eq 139" i kako da se loguje svako ko naleti i to da ide na syslog?

4. ako za izlaz sa mreze imam samo pravilo "permit ip 123.123.123.0 0.0.0.255 any" gde je 123 recimo moja mreza (zbog spoof-a), i primenim to pravilo na Eth0 interface, pa probam ping ili traceroute van moje mreze i to PROLAZI! kako i zasto? znaci koliko vidim nemam "permit icmp any any" a na kraju liste bi trebalo da se podrazumeva eksplicitni deny all... a icmp ne bi trebalo da spada u ip protokol, zar ne? cudno.

[Marko]

> 3. kako da logujem poklapanja sa pravilima u access-listama?
> primer blokiram sa "deny tcp any any eq 139" i kako da se
> loguje svako ko naleti i to da ide na syslog?

To se radi prilikom samog definisanja access liste. Pretpostavimo da imas ovo:

access-list 100 deny tcp any any eq 139
access-list 100 deny ip any any
! ja volim da postavim ovo na kraj, cisto da me podseti

Ono sto ta liste "hvata" mozes da vidis ako u privilegovanom modu (enable) otkucas:

show access-list 100

Ta lista, kao sto si i sam primetio, nece logovati, zato sto ruteru nisi dao instrukciju da to radi:

no access-list 100
access-list 100 deny tcp any any eq 139 log
access-list 100 deny ip any any

> 4. ako za izlaz sa mreze imam samo pravilo "permit ip
> 123.123.123.0 0.0.0.255 any" gde je 123 recimo moja mreza
> (zbog spoof-a), i primenim to pravilo na Eth0 interface, pa
> probam ping ili traceroute van moje mreze i to PROLAZI! kako
> i zasto? znaci koliko vidim nemam "permit icmp any any" a na
> kraju liste bi trebalo da se podrazumeva eksplicitni deny
> all... a icmp ne bi trebalo da spada u ip protokol, zar
> ne? cudno.

Da se prostudira IP protokol malo vise . IP je protokol 3. nivoa OSI (open systems interconnect) sistema (network layer), dok je ICMP 4. nivo (transport layer). ICMP je IP protokol podtipa 1. Cisto reference radi, TCP je 6, a UDP 17 .

Istina, tvoja poruka je malo zbunjujuca, tj. kako tacno izlgeda konfiguracija rutera, tj. kako si primenio pravilo na ethernet0 (kao in ili kao out), takodje i odakle si radio ping i traceroute.

Cisto kao jos jedan dodatak, pravi traceroute *NIJE* ICMP, vec UDP. Windowsov "tracert" iz nekog nepoznatog razloga koristi ICMP.


Marko.

[Marko]

Ah da, ako ti lista 100 izgleda ovako kako sam je ja napravio, nece pustiti nista, dakle vodi racuna o tome!

Takodje, kad menjas access liste, a uilogovan si preko mreze, postaraj se da prvo iskljucis listu sa interfejsa, pa tek onda menjas listu, jer moze da ti se desi da se iskljucis sa mreze, posto se lista primenjuje cim se otkuca!

[Anonymous]

> access-list 100 deny tcp any any eq 139 log

tako sam nesto i citao, dakle krsenja ovog pravila ce mi ipak ici na syslog, mislim ne treba nista posebno da dodam osim stavljanja "log" na kraju?

> Istina, tvoja poruka je malo zbunjujuca, tj. kako tacno
> izlgeda konfiguracija rutera, tj. kako si primenio pravilo na
> ethernet0 (kao in ili kao out), takodje i odakle si radio
> ping i traceroute.

Da, bice da ICMP upada pod IP Situacija nije bas bila ono "nikad ruter video nisam", znaci "ip access-group ime in" na Eth0 i onda probam sa te Eth mreze iz Linuxa i Windowsa naravno, tako da upada onaj traceroute deo pod icmp Hvala.
Na greskama se uci, tako da sam se prvi put "odsekao" od rutera jer sam menjao pravila jer sam isao spolja u mrezu, pa sa mreze konfigurisao ruter, sta ces pocetnicka sreca

[Bosko Radivojevic]

Jest' da odgovaram sa 'zakasnjenjem' (samo 2 meseca), ali sta cu kada retko kada stizem da citam forum

No, po teoriji, ICMP je protokol 3. nivoa, bas kao i IP. Doduse, ICMP poruke se prenose putem IP datagrama. Ili sto bi se elegantnije reklo, ICMP poruke se enkapsuliraju u IP datagrame.
E sad, zasto je ICMP treceg OSI nivoa: zato sto ICMP poruke (uglavnom) generise i obradjuje TCP/IP implementacija/mrezni softver, a ne korisnicki procesi (koji za svoju komunikaciju, tj za prenos podataka korise protokole transportnog (cetvrtog) nivoa).