Sistem & Network Notlarım

Çalışmalarım için aldığım SSG-5-SH-BTW-US ürün kodlu cihazı satıyorum. Cihazı 0 aldım ve sadece çalışmalarımda kullandım.

Cihazı orjinal kutusu ve içeriği ile gelecektir.  (Antenleri, Power Adaptör… vs)

Cihazı yurt dışından aldığım için garantisi yoktur. 

Detaylı Bilgi için : http://www.juniper.net/us/en/local/pdf/datasheets/1000176-en.pdf

İletişim : murat@muratguclu.com

MTFirewall-> get system
Product Name: SSG5-ISDN-WLAN
Serial Number: xxxxxxxxxxxxxxx, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.1.0r5.0, Type: Firewall+VPN
Feature: AV-K
Compiled by build_master at: Wed Feb 18 23:50:59 PST 2009
Base Mac: 0017.cb81.c800
File Name: screenos_image, Checksum: 5ab54de1
Total Memory: 256MB
Date 05/15/2009 09:51:01, Daylight Saving Time enabled
The Network Time Protocol is Disabled
Up 0 hours 2 minutes 32 seconds Since 15May2009:09:48:29
Total Device Resets: 5, Last Device Reset at: 01/20/2009 09:06:02
System in NAT/route mode.
Use interface IP, Config Port: 80
Manager IP enforced: False
Manager IPs: 0

MTFirewall-> get chassis detail
Motherboard Information: Built-in: 7-10/100 ports
  S/N:
  HW Rev: 0710
Memory Information:
  S/N:
  HW Rev: 0210
  Size: 256M
802.11A/B/G Information:
  S/N:
  HW Rev: 0410
  Bootrom Version: 1.0
  Software Version: 4.1.3.15.43

“Network Warrior” adlı kitabı okurken aşağıdaki şiire rastladım. STP algoritmasının nasıl çalıştığını anlatan güzel bir şiir. Bu şiir Joyce Kilmer ‘ ın “Trees” adlı şiirinin değiştirlmiş halidir.  Protokolün algoritması Dr. Radia Joy Perlman tarafından bulunmuştur. 

 

I think that I shall never see
A graph more lovely than a tree.
A tree whose crucial property
Is loop-free connectivity.
A tree which must be sure to span.
So packets can reach every LAN.
First the Root must be selected
By ID it is elected.
Least cost paths from Root are traced
In the tree these paths are placed.
A mesh is made by folks like me
Then bridges find a spanning tree.

Bugün iki yeni Juniper makalesi yayınladım. İlerleyen günlerde ScreenOS ile VPN makaleleri yayınlamayı düşünüyorum daha sonra seri olarak Cisco Wireless Lan Controller ve Cisco Wireless Control System üzerine çalışmalarımı yayınlacağım.

Juniper Firewall lar tarafında merak ettiğiniz veya makalesi istediğiniz bir konu var ise üzerinde durabilirim. Benim kullandığım cihazın SSG-5 olması nedeni ile yazmak istediğim bazı konulara (Juniper’s Virtual System , High Availability…) değinemiyorum.

Bugün ASA ile ASDM üzerinde Cisco VPN Client konfigürasyonu yayınladım. Yarın yetişirse Juniper SSG transparent mode makalesini yayınlayacağım. O makaleyi uzun zaman önce (7-8 ay önce) yazmıştım ama vakitsizlikten bir türlü bitiremedim. Sırada SSG ler üzerinde ipv6, wireless (wep, wpa)hacking ve nasıl korunulur makaleleri var.

Juniper ‘a konsoldan bağlantı yapmak istediğimizde, utp serial convertor olması veya UTP – SERIAL kablo olması gerekir. Cisco ‘ nın konsol kablosunu (rollover cable)kullanamıyoruz. Altta konsoldan bağlanmak için sıralama dizimini veriyorum.

 

http://kb.juniper.net/KB7188

Cisco Router larda enable şifresini unuttunuz veya bilmiyor iseniz ve router larda konfigurasyon yapmak istiyorsanız enable şifresini kırmamız gerekir. Bu işlemi yaparken mevcut konfigurasyonu da kaydetmemiş olacağız.

Konsol kablosu ile bağlandıktan sonra terminal emulator üne

9600 baud rate

No parity

8 data bits

1 stop bit

No flow control

Ayarlarını atıyoruz. Daha sonra IOS yüklenmeden 60 saniye içinde Break Key (CTRL+C) tuşlarına basıp rommon mode da açılmasını sağlıyoruz. Genelde configuration register 0×2102 veya 0×102 atanmıştır.

Rommon Mode a düştükten sonra aşağıdaki komutları yazıyoruz:

rommon 1 > confreg 0×2142

rommon 2 > reset

Router, restart olacaktır. Karşınıza çıkan wizard ı CTRL+C ile geçip ve enable mode a geçtikten sonra;

configure memory veya copy startup−config running−config yazarak router üzerindeki konfigurasyonu alırız. Burada kesinlikle copy running−config startup−config veya write komutları koşturulmaması gerekir yoksa mevcut konfigurasyon gider yerine fabrika ayarlarındaki konfigürasyon gelir.

Bu işlemleri yaptıktan sonra tüm interface ler down durumuna geçer ve no shutdown ile ayağı kaldırılması gerekir. Show ip interface brief ile interface lerin durumunu görebiliriz.

Konfigurasyonun aktif olduğunu show running−config ten kontrol edilebilir. Eski şifreyi unencrypt bir şekilde görebilirsiniz.

configure terminal yazılarak konfigurasyon mode u na geçilir ve

enable secret veya enable password komutu ile yeni şifre atanır.  Daha sonra register ayarlarını eski konumuna alıyoruz.

hostname(config)#config−register 0×2102 komutu koşturulur.

Son olarak, yapılan değişiklikler kaydedilir; write memory veya copy running−config startup−config

Rocovery işlemlerini tamamladık. Aşağıda Router çıktısını da ekliyorum.

rommon 1 > confreg 0×2142

You must reset or power cycle for new config to take effect

rommon 2 > reset

System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 2006 by cisco Systems, Inc.

C870 series (Board ID: 1-148) platform with 131072 Kbytes of main memory

– System Configuration Dialog —

Would you like to enter the initial configuration dialog? [yes/no]:

Press RETURN to get started!

Router>en

Router#copy startup-config running-config

Destination filename [running-config]?

924 bytes copied in 0.636 secs (1453 bytes/sec)

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface atM 0

Router(config-if)#no sh

Router(config-if)#exit

Router(config)#enable password 123456

*Aug 20 16:34:20.111: %LINK-3-UPDOWN: Interface ATM0, changed state to up

*Aug 20 16:34:21.111: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0, changed state to upcon

Router(config)#config-register 0×2102

Router(config)#exit

Router#wr

*Aug 20 16:34:51.031: %SYS-5-CONFIG_I: Configured from console by console

Building configuration…

[OK]

Blog üzerinde görsel değişikliklere başladım. Uzun zamandır aynı Temayı kullanıyordum artık değiştirme zamanı gelmişti.

İletişim kısmına yapılan yorumları daha sonraki postlarda yayınlayacağım. Şu anda temada değişikliklerle ilgileniyorum.  Yakın zamandır, daha doğrusu uzun zamandır Juniper SSG makaleleri hazırlamak istiyordum umarım haftaya onlara başlayabilirim. İlk olarak SSG Wireless üzerinde Steel-Belted Radius ile authentication makalesini yazmayı düşünüyorum.

ciscoasa(config)# config factory-default

Based on the inside IP address and mask, the DHCP address
pool size is reduced to 253 from the platform limit 256

WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.

Begin to apply factory-default configuration:
Clear all configuration
WARNING: DHCPD bindings cleared on interface ‘inside’, address pool removed
Executing command: interface Ethernet 0/0
Executing command: switchport access vlan 2
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/1
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/2
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/3
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/4
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/5
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/6
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface Ethernet 0/7
Executing command: switchport access vlan 1
Executing command: no shutdown
Executing command: exit
Executing command: interface vlan2
Executing command: nameif outside
INFO: Security level for “outside” set to 0 by default.
Executing command: no shutdown
Executing command: ip address dhcp setroute
Executing command: exit
Executing command: interface vlan1
Executing command: nameif inside
INFO: Security level for “inside” set to 100 by default.
Executing command: ip address 192.168.1.1 255.255.255.0
Executing command: security-level 100
Executing command: no shutdown
Executing command: exit
Executing command: global (outside) 1 interface
INFO: outside interface address added to PAT pool
Executing command: nat (inside) 1 0 0
Executing command: http server enable
Executing command: http 192.168.1.0 255.255.255.0 inside
Executing command: dhcpd address 192.168.1.2-192.168.1.254 inside
Executing command: dhcpd auto_config outside
Executing command: dhcpd enable inside
Executing command: logging asdm informational
Factory-default configuration is completed

ciscoasa(config)# reload noconfirm

Asa üzerinde yaptığım internet konfigürasyonu yazıyorum.

Ethernet0/0 WAN Bacağı

Ethernet0/1-0/6 LAN

Ethernet0/7 DMZ Zone da. Bridge Mode da çalışan ADSL Modem ayarları yapıldı.

ASA Version 7.2(3)
!
hostname ciscoasa
domain-name muratguclu.com
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group Test
ip address pppoe
!
interface Vlan3
nameif dmz
security-level 50
ip address 10.0.0.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
switchport access vlan 3
!
ftp mode passive
dns server-group DefaultDNS
domain-name muratguclu.com
access-list inside_access_out extended permit ip 192.168.1.0 255.255.255.0 any log
pager lines 24
logging enable
logging asdm informational
mtu inside 1452
mtu outside 1452
mtu dmz 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_out out interface inside
route outside 0.0.0.0 0.0.0.0 192.168.20.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group Test request dialout pppoe
vpdn group Test localname xxxxx@biri.com.tr
vpdn group Test ppp authentication pap
vpdn username xxxx@biri.com.tr password xxxxxxx
dhcpd auto_config outside
!
dhcpd address 192.168.1.10-192.168.1.254 inside
dhcpd dns 208.67.222.222 208.67.220.220 interface inside
dhcpd enable inside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:e27f5f671727e761f250ab5379027c0e
: end

ip nat inside source static 10.1.1.11 88.88.88.88

Buradaki örnekte 10.1.1.11 ip adresini 88.88.88.88 public ip sini natladık.

ip nat inside source static tcp 192.194.196.89 3389 interface Dialer0 3389

Burada da port yönlendirme komutunu yazıyorum