cisco config

[cisco_fbi]

سلام به دوستان persian networks
من درباره ي config روتر يه سوال ازتون داشتم
من تونستم config يه روتر رو به دست بيارم و در ضمن اين اجازه رو دارم كه config رو اديت كنم و دوباره upload كنم
اما دسترسي فيزيكي ندارم
با اين username , password ي كه تو config نوشته مي شه از طريق تلنت تو روتر رفت
اما نمي شه از طريق dial up به اون isp وصل شد
حالا ازز شما مي خوام كه اين config رو يه جوري تغيير بديد كه اين يوزرنيم و پسوورد توي config هم از طريق dial up هم وصل بشه
البته بدون اين كه براي بقيه ي كاربران مشكلي پيش بياد

!
version 12.0
no service pad
service tcp-keepalives-in
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
aaa new-model
aaa authentication ppp default if-needed group tacacs+ local
aaa authorization network default group tacacs+ local
aaa accounting nested
aaa accounting update newinfo
aaa accounting exec default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
enable secret 5 ...
enable password 7 ...
!
username ... privilege 15 password 7 ...
!
!
!
!
ip subnet-zero
ip rcmd rsh-enable
ip rcmd remote-host SYSTEM x.x.x.x SYSTEM enable
no ip finger
ip host router x.x.x.x
ip name-server 195.146.32.1
ip name-server 195.146.32.65
!
no ip bootp server
!
!
!
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0 secondary
ip address x.x.x.x 255.255.255.240
no ip directed-broadcast
ip nat inside
rate-limit input 24000 8000 10000 conform-action transmit exceed-action drop
rate-limit output 24000 8000 10000 conform-action transmit exceed-action drop
!
interface Serial0/0
ip unnumbered Ethernet0/0
ip access-group asyncgroup in
ip access-group asyncgroup out
no ip redirects
no ip directed-broadcast
no ip proxy-arp
ip nat outside
!
interface Group-Async0
ip unnumbered Ethernet0/0
no ip directed-broadcast
ip nat inside
encapsulation ppp
no ip mroute-cache
async mode dedicated
peer default ip address pool ASYNC
compress mppc
ppp authentication pap chap ms-chap
group-range 33 48
!
ip local pool ASYNC 192.168.1.20 192.168.1.40
ip default-gateway x.x.x.x
ip nat pool Private x.x.x.x x.x.x.x prefix-length 24
ip nat inside source list 7 pool Private overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
no ip http server
!
!
ip access-list extended asyncgroup
deny udp any any eq tftp
deny udp any any eq 135
deny tcp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq netbios-ss
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 4444
deny tcp any any eq 707
deny udp any any eq 445
deny icmp any any echo
deny icmp any any echo-reply
permit ip any any
access-list 4 permit x.x.x.x
tacacs-server host x.x.x.x
snmp-server engineID local ...
snmp-server community ... RW
!
line con 0
transport input none
line 33 48
session-timeout 10
autoselect during-login
autoselect ppp
absolute-timeout 90
modem InOut
modem autoconfigure discovery
transport output none
stopbits 1
speed 2400
flowcontrol hardware
line aux 0
line vty 0 4
access-class 4 in
password 7 ...
transport preferred none
transport input telnet
transport output none
!
end

---

موضوعات مشابه:

• Config swich 2960 cisco
• PPTP Client config on cisco
• cisco config consultation
• cisco config
• Cisco 1601 config Error

---

[Hakimi]

قبل از هر چیز ورود شما به این جمع را خوش آمد عرض می کنم.
در نوشته تان، متن کامل Conig را نوشته بودید که در آن IP Address و Secret و SNMP-Server Community و . . . وجود داشت.
(که البته من ویرایش کردم و آنها را از نوشته شما حذف کردم.)
دقت کنید این می تواند شما را دچار مخاطره کند. (نمی دانم آیا مثلا شما این Router را Hack کرده اید!)
اگر دسترسی شما مجاز است، لطفا هر چه زودتر اقدام به تغییر تمامی کلمات رمز این سیستم بفرمایید.
در غیر این صورت ...

در هر حال، برای این که در AAA ابتدا از کاربران تعریف شده بر روی خود Router استفاده کند و سپس به سراغ TACACS+ برود باید طبق توضیحات زیر عمل کنید.

در خطوط:

aaa authentication ppp default if-needed group tacacs+ local
aaa authorization network default group tacacs+ local

کافی است Local را قبل از default قرار دهید.

[AzzA]

بهتر بود میگفتی از روتر ( هدایت ) شل کامند گرفتی ، حالا میخوای از شبکه شون استفاده کنی ،

[cisco_fbi]

قبل از هر چیز ورود شما به این جمع را خوش آمد عرض می کنم.
در نوشته تان، متن کامل Conig را نوشته بودید که در آن IP Address و Secret و SNMP-Server Community و . . . وجود داشت.
(که البته من ویرایش کردم و آنها را از نوشته شما حذف کردم.)
دقت کنید این می تواند شما را دچار مخاطره کند. (نمی دانم آیا مثلا شما این Router را Hack کرده اید!)
اگر دسترسی شما مجاز است، لطفا هر چه زودتر اقدام به تغییر تمامی کلمات رمز این سیستم بفرمایید.
در غیر این صورت ...

در هر حال، برای این که در AAA ابتدا از کاربران تعریف شده بر روی خود Router استفاده کند و سپس به سراغ TACACS+ برود باید طبق توضیحات زیر عمل کنید.

در خطوط:

aaa authentication ppp default if-needed group tacacs+ local
aaa authorization network default group tacacs+ local

کافی است Local را قبل از default قرار دهید.

سلام کوروش جان
دسترسی من مجاز نیست
حالا طبق گفته ی شما برای استفاده dial up از یوزر پسووردی که روتر هست
و همچنین بدون ایجاد مشکل برای دیگر کاربران
باید این ها رو اضافه کنم؟
aaa authentication ppp + local default if-needed group tacacs
aaa authorization network + local default group tacacs+ local

bye

[Hakimi]

باید آن دو خط را حذف کنید و به جای آنها، خطوط زیر را جایگزین کنید:

aaa authentication ppp local default group tacacs+
aaa authorization network local default group tacacs+

@ AzzA
ایشان دسترسی مستقیم هم ندارند و از طریق SNMP این کار را انجام می دهند.

[cisco_fbi]

باید آن دو خط را حذف کنید و به جای آنها، خطوط زیر را جایگزین کنید:

aaa authentication ppp local default group tacacs+
aaa authorization network local default group tacacs+

@ AzzA
ایشان دسترسی مستقیم هم ندارند و از طریق SNMP این کار را انجام می دهند.

آقا كوروش نظرتون درباره ي اين چيه؟
اينو چكارش بايد كنم؟
؟

!


version 12.2

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname Router

!

aaa new-model

!

!

aaa authentication login default group radius local

aaa authentication login no_radius enable

aaa authentication login data none

aaa authentication ppp default group radius

aaa authentication ppp defalt if-needed group radius local

aaa authentication ppp data none

aaa authorization exec default group radius local

aaa authorization network default group radius local

aaa accounting nested

aaa accounting update newinfo

aaa accounting exec default start-stop group radius

aaa accounting network default start-stop group radius

aaa session-id common

enable password rgm486zxc

!

username root privilege 15 password wer2qaz

username rahim privilege 15 password raham

username raham privilege 15 nocallback-verify password rahim

ip subnet-zero

!

!

ip name-server 195.146.32.1

ip name-server 192.9.9.3

!

!

!

!

interface FastEthernet0/0

ip address 192.168.0.2 255.255.255.0 secondary

ip address XXX.XXX.XXX.XXX 255.255.255.240

ip access-group blaster in

ip access-group blaster out

no ip unreachables

no ip mroute-cache

speed auto

half-duplex

no cdp enable

!

interface Serial0/0

ip unnumbered FastEthernet0/0

ip access-group blaster in

ip access-group blaster out

no ip unreachables

encapsulation ppp

no ip route-cache

no ip mroute-cache

no fair-queue

no cdp enable

!

interface Group-Async1

description connect to dialup

ip unnumbered FastEthernet0/0

ip access-group blaster in

ip access-group blaster out

no ip unreachables

encapsulation ppp

ip tcp header-compression

no ip mroute-cache

ip policy route-map casch

async mode interactive

peer default ip address pool range1

fair-queue

ppp authentication chap pap

group-range 33 48

!

ip local pool range1 192.168.0.129 192.168.0.150

ip classless

ip route 0.0.0.0 0.0.0.0 Serial0/0

no ip http server

ip pim bidir-enable

!

!

ip access-list extended blaster

deny udp any eq tftp any

deny udp any any eq tftp

deny udp any eq 135 any

deny udp any any eq 135

deny udp any eq netbios-ss any

deny udp any any eq netbios-ss

deny udp any eq 445 any

deny udp any any eq 445

deny tcp any eq 135 any

deny tcp any any eq 135

deny tcp any eq 139 any

deny tcp any any eq 139

deny tcp any eq 445 any

deny tcp any any eq 445

deny tcp any eq 593 any

deny tcp any any eq 593

deny tcp any eq 4444 any

deny tcp any any eq 4444

deny icmp any any echo

deny icmp any any echo-reply

deny udp any any range 133 netbios-ss

deny udp any range 133 netbios-ss any

deny udp any eq 3333 any

deny udp any any eq 3333

deny udp any eq 593 any

deny udp any any eq 593

deny udp any any range 666 765

deny udp any range 666 765 any

deny udp any eq 4444 any

deny udp any any eq 4444

deny udp any eq 1433 any

deny udp any any eq 1433

deny udp any eq 1434 any

deny udp any any eq 1434

deny tcp any any range 133 139

deny tcp any range 133 139 any

deny tcp any eq 3333 any

deny tcp any any eq 3333

deny tcp any any range 666 765

deny tcp any range 666 765 any

deny tcp any eq 1433 any

deny tcp any any eq 1433

deny tcp any eq 1434 any

deny tcp any any eq 1434

deny tcp any eq 1080 any

deny tcp any any eq 1080

permit ip any any

!

access-list 101 permit ip 192.168.0.128 0.0.0.63 any

no cdp run

route-map casch permit 2

match ip address 101

set ip next-hop 192.168.0.5

!

snmp-server community public RW 15

snmp-server contact --Test Contact--153524

radius-server host XXX.XXX.XXX.XXX auth-port 1645 acct-port 1646

radius-server retransmit 3

radius-server key 7 070135584F0A

!

line con 0

password 123456

line 33 48

modem Dialin

modem autoconfigure type default

transport input all

autoselect during-login

autoselect ppp

flowcontrol hardware

line aux 0

line vty 0 4

exec-timeout 0 0

password raham

!

!

end

[Hakimi]

@ cisco_fbi
چی رو چکار کنید؟!

[aryagohar]

من یکی با اینکار مخالفم.

من در این زمینه کمک نمی کنم.

اگه مشکلی دیگه ای داری کمک می کنم.

[snmp_cracker]

سلام به همه دوستان

!
aaa new-model
!
!
aaa authentication login default group radius local
aaa authentication login no_radius enable
aaa authentication login data none
aaa authentication ppp default group radius
aaa authentication ppp defalt if-needed group radius local
aaa authentication ppp data none
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting nested
aaa accounting update newinfo
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
aaa session-id common

من config دومي كه cisco_fbi در بالا داده بود كه editكنيد را درست كردم و به شكل زيرتبديل شد

aaa authentication login no_radius enable
aaa authentication login data none
aaa authentication ppp default group radius
aaa authentication ppp data none
aaa accounting nested
aaa accounting update newinfo
aaa accounting exec default start-stop group radius
aaa accounting network default start-stop group radius
aaa session-id common

قبل از edit كردن telnet روي config بسته بود و از dos وارد router نمي شد
ولي الان از طريق داس وارد روتر مي شود ولي از طريق dial up يوزرنيم و پسوردي كه با ان وارد روتر مي شه جواب نمي دهد .

حالا از شما مي خوام كه اين config را جوري تغيير بدهيد كه اي يوزرنيم و پسورد توي config هم از طريق dial up وصل بشه
البته بدون اينكه براي بقيه كاربران مشكلي پيش بيايد .

[Navid.Baradaran]

این کار کاملاً غیر قانونی و خلاف شرع و عرف و اخلاق و غیره است دورت بگردم ، افرادی هم که در این فروم مشغولند برای چنین کارهایی وقت نداشته و ندارند ، تغییر شناسه کاربری هم کمکی به شما نخواهد نمود.
امید وارم روزی روزگاری به راه راست هدایت شوید!
در ضمن نیمی از گناه شما به پای آن شخصی نوشته میشه که SNMP Community RW رو روشن کرده و یه چیز ساده گذاشته.

[snmp_cracker]

این کار کاملاً غیر قانونی و خلاف شرع و عرف و اخلاق و غیره است دورت بگردم ، افرادی هم که در این فروم مشغولند برای چنین کارهایی وقت نداشته و ندارند ، تغییر شناسه کاربری هم کمکی به شما نخواهد نمود.
امید وارم روزی روزگاری به راه راست هدایت شوید!
در ضمن نیمی از گناه شما به پای آن شخصی نوشته میشه که SNMP Community RW رو روشن کرده و یه چیز ساده

گذاشته.

سلام
من تغییر شناسه ندادم
و به کمک شما نیاز فوری دارم