forum.opennet.ru - "IOS firewall" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IOS firewall"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IOS firewall"
Сообщение от Gintonik (ok) on 16-Ноя-06, 15:26
Я что-то не понимаю или что-то не так сделал... Есть циска, которая, смотрит в инет, в DMZ и например в локальную сеть. Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a00804a41c5.html) и сделал следующее: 38 ip inspect name Standart tcp 39 ip inspect name Standart icmp 40 ip inspect name Standart udp 160 interface FastEthernet0/0.2 161 description External interface 163 encapsulation dot1Q 2 164 ip address 195.34.34.34 255.255.255.252 165 ip access-group 153 in 166 no ip unreachables 167 ip flow ingress 168 ip inspect Standart in 169 ip inspect Standart out 170 no snmp trap link-status 171 no cdp enable 194 interface FastEthernet0/1.4 195 description DMZ 196 encapsulation dot1Q 4 197 ip address 192.168.100.33 255.255.255.224 198 ip access-group 155 in 199 ip access-group 154 out 200 ip flow ingress 201 ip inspect Standart in 202 ip inspect Standart out 203 no snmp trap link-status 341 access-list 153 remark Main-input access list 350 access-list 153 deny tcp any any eq 135 351 access-list 153 deny tcp any any eq 137 352 access-list 153 deny tcp any any eq 139 353 access-list 153 deny tcp any any eq 138 354 access-list 153 deny tcp any any eq 445 355 access-list 153 deny tcp any any eq 1434 356 access-list 153 deny tcp any any eq 1433 361 access-list 153 permit ip any 192.168.100.0 0.0.0.31 362 access-list 153 permit ip any 192.168.100.32 0.0.0.31 365 access-list 153 permit icmp any any time-exceeded 366 access-list 153 permit icmp any any unreachable 367 access-list 153 permit icmp any any echo-reply 368 access-list 153 deny ip any any 369 access-list 154 remark DMZ input 391 access-list 154 permit tcp any host 192.168.100.45 eq www 415 access-list 154 deny ip any any 416 access-list 155 remark DMZ initiated traffic 420 access-list 155 permit ip host 192.168.100.45 any 430 access-list 155 deny ip any any -------- В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне могли зайти только на 80 порт, а я с него в инет мог ходить как угодно. Так вот, www с него и на него работает без проблем, а ftp,pptp нет! Где грабли?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IOS firewall, EtherDA, 19:14 , 16-Ноя-06, (1)

IOS firewall, Gintonik, 10:13 , 17-Ноя-06, (2)

IOS firewall, CoreDump, 11:31 , 17-Ноя-06, (3)

IOS firewall, Gintonik, 12:26 , 17-Ноя-06, (4)

IOS firewall, CoreDump, 14:29 , 17-Ноя-06, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "IOS firewall"

Сообщение от EtherDA on 16-Ноя-06, 19:14

>Я что-то не понимаю или что-то не так сделал...
>Есть циска, которая, смотрит в инет, в DMZ и например в локальную
>сеть.
>Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a00804a41c5.html) и сделал следующее:
>   38     ip inspect name Standart
>tcp
>   39     ip inspect name Standart
>icmp
>   40     ip inspect name Standart
>udp
>
>  160     interface FastEthernet0/0.2
>  161      description External interface
>  163      encapsulation dot1Q 2
>  164      ip address 195.34.34.34 255.255.255.252
>
>  165      ip access-group 153 in
>
>  166      no ip unreachables
>  167      ip flow ingress
>  168      ip inspect Standart in
>
>  169      ip inspect Standart out
>
>  170      no snmp trap link-status
>
>  171      no cdp enable
>
>  194     interface FastEthernet0/1.4
>  195      description DMZ
>  196      encapsulation dot1Q 4
>  197      ip address 192.168.100.33 255.255.255.224
>
>  198      ip access-group 155 in
>
>  199      ip access-group 154 out
>
>  200      ip flow ingress
>  201      ip inspect Standart in
>
>  202      ip inspect Standart out
>
>  203      no snmp trap link-status
>
>
>  341     access-list 153 remark Main-input access
>list
>  350     access-list 153 deny
>tcp any any eq 135
>  351     access-list 153 deny
>tcp any any eq 137
>  352     access-list 153 deny
>tcp any any eq 139
>  353     access-list 153 deny
>tcp any any eq 138
>  354     access-list 153 deny
>tcp any any eq 445
>  355     access-list 153 deny
>tcp any any eq 1434
>  356     access-list 153 deny
>tcp any any eq 1433
>  361     access-list 153 permit ip any
>192.168.100.0 0.0.0.31
>  362     access-list 153 permit ip any
>192.168.100.32 0.0.0.31
>  365     access-list 153 permit icmp any
>any time-exceeded
>  366     access-list 153 permit icmp any
>any unreachable
>  367     access-list 153 permit icmp any
>any echo-reply
>  368     access-list 153 deny
>ip any any
>
>  369     access-list 154 remark DMZ input
>
>  391     access-list 154 permit tcp any
>host 192.168.100.45 eq www
>  415     access-list 154 deny
>ip any any
>
>  416     access-list 155 remark DMZ initiated
>traffic
>  420     access-list 155 permit ip host
>192.168.100.45 any
>  430     access-list 155 deny
>ip any any
>--------
>В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне
>могли зайти только на 80 порт, а я с него в
>инет мог ходить как угодно. Так вот, www с него и
>на него работает без проблем, а ftp,pptp нет! Где грабли?
Я думаю грабли в том что ППТП сначала организует tcp соединение на порт 1723 а затем организуется gre туннель, трафик которого успешно забривается. А ФТП соединяется по 21 порту а данные передает по 20-му. ИМХО копать надо в этом направлении и продебажить акцесс листы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IOS firewall"

Сообщение от Gintonik (ok) on 17-Ноя-06, 10:13

>
>Я думаю грабли в том что ППТП сначала организует tcp соединение на
>порт 1723 а затем организуется gre туннель, трафик которого успешно забривается.
>А ФТП соединяется по 21 порту а данные передает по 20-му.
>ИМХО копать надо в этом направлении и продебажить акцесс листы

А разве ip inspect не должен динамически порты открывать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IOS firewall"

Сообщение от CoreDump (ok) on 17-Ноя-06, 11:31

   38     ip inspect name Standart tcp
   39     ip inspect name Standart icmp
   40     ip inspect name Standart udp
Где тут gre ? :) Это отдельный протокол (номер 47)
Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
permit gre any any. и если мое предположение верное pptp должен заработать.
А по поводу фтп точно не могу сказать, но дебаг ACL тебе поможет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IOS firewall"

Сообщение от Gintonik (ok) on 17-Ноя-06, 12:26

>   38     ip inspect name Standart
>tcp
>   39     ip inspect name Standart
>icmp
>   40     ip inspect name Standart
>udp
>
>Где тут gre ? :) Это отдельный протокол (номер 47)
>Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
>
>permit gre any any. и если мое предположение верное pptp должен заработать.
>
>А по поводу фтп точно не могу сказать, но дебаг ACL тебе
>поможет
Но если я добавлю
permit gre any any
то получается, что к моему серверу смогут по PPTP ломится из вне кто угодно?
Я добалял ip inspect name Standart ftp... не помогает.
дебаг ACL надо делать так???:
debug ip packet #ACL
если да, то как от туда выловить что надо, а то там совсем уж много всего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IOS firewall"

Сообщение от CoreDump (ok) on 17-Ноя-06, 14:29

>Но если я добавлю
>permit gre any any
>то получается, что к моему серверу смогут по PPTP ломится из вне
>кто угодно?
Нет. Надо сначала установить соединение по tcp(1723)

>дебаг ACL надо делать так???:
>debug ip packet #ACL
Лучше всего я думаю так. к deny ip any any  добавить ключик log. (deny ip any any log)
Eсли телнетом заходишь надо сделать term mon из config режима для включения вывода отладки на терминал. Если с консоли то не надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IOS firewall"
Сообщение от EtherDA on 16-Ноя-06, 19:14
>Я что-то не понимаю или что-то не так сделал... >Есть циска, которая, смотрит в инет, в DMZ и например в локальную >сеть. >Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a00804a41c5.html) и сделал следующее: > 38 ip inspect name Standart >tcp > 39 ip inspect name Standart >icmp > 40 ip inspect name Standart >udp > > 160 interface FastEthernet0/0.2 > 161 description External interface > 163 encapsulation dot1Q 2 > 164 ip address 195.34.34.34 255.255.255.252 > > 165 ip access-group 153 in > > 166 no ip unreachables > 167 ip flow ingress > 168 ip inspect Standart in > > 169 ip inspect Standart out > > 170 no snmp trap link-status > > 171 no cdp enable > > 194 interface FastEthernet0/1.4 > 195 description DMZ > 196 encapsulation dot1Q 4 > 197 ip address 192.168.100.33 255.255.255.224 > > 198 ip access-group 155 in > > 199 ip access-group 154 out > > 200 ip flow ingress > 201 ip inspect Standart in > > 202 ip inspect Standart out > > 203 no snmp trap link-status > > > 341 access-list 153 remark Main-input access >list > 350 access-list 153 deny >tcp any any eq 135 > 351 access-list 153 deny >tcp any any eq 137 > 352 access-list 153 deny >tcp any any eq 139 > 353 access-list 153 deny >tcp any any eq 138 > 354 access-list 153 deny >tcp any any eq 445 > 355 access-list 153 deny >tcp any any eq 1434 > 356 access-list 153 deny >tcp any any eq 1433 > 361 access-list 153 permit ip any >192.168.100.0 0.0.0.31 > 362 access-list 153 permit ip any >192.168.100.32 0.0.0.31 > 365 access-list 153 permit icmp any >any time-exceeded > 366 access-list 153 permit icmp any >any unreachable > 367 access-list 153 permit icmp any >any echo-reply > 368 access-list 153 deny >ip any any > > 369 access-list 154 remark DMZ input > > 391 access-list 154 permit tcp any >host 192.168.100.45 eq www > 415 access-list 154 deny >ip any any > > 416 access-list 155 remark DMZ initiated >traffic > 420 access-list 155 permit ip host >192.168.100.45 any > 430 access-list 155 deny >ip any any >-------- >В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне >могли зайти только на 80 порт, а я с него в >инет мог ходить как угодно. Так вот, www с него и >на него работает без проблем, а ftp,pptp нет! Где грабли? Я думаю грабли в том что ППТП сначала организует tcp соединение на порт 1723 а затем организуется gre туннель, трафик которого успешно забривается. А ФТП соединяется по 21 порту а данные передает по 20-му. ИМХО копать надо в этом направлении и продебажить акцесс листы
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IOS firewall"
	Сообщение от Gintonik (ok) on 17-Ноя-06, 10:13
	> >Я думаю грабли в том что ППТП сначала организует tcp соединение на >порт 1723 а затем организуется gre туннель, трафик которого успешно забривается. >А ФТП соединяется по 21 порту а данные передает по 20-му. >ИМХО копать надо в этом направлении и продебажить акцесс листы А разве ip inspect не должен динамически порты открывать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IOS firewall"
	Сообщение от CoreDump (ok) on 17-Ноя-06, 11:31
	38 ip inspect name Standart tcp 39 ip inspect name Standart icmp 40 ip inspect name Standart udp Где тут gre ? :) Это отдельный протокол (номер 47) Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить permit gre any any. и если мое предположение верное pptp должен заработать. А по поводу фтп точно не могу сказать, но дебаг ACL тебе поможет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IOS firewall"
	Сообщение от Gintonik (ok) on 17-Ноя-06, 12:26
	> 38 ip inspect name Standart >tcp > 39 ip inspect name Standart >icmp > 40 ip inspect name Standart >udp > >Где тут gre ? :) Это отдельный протокол (номер 47) >Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить > >permit gre any any. и если мое предположение верное pptp должен заработать. > >А по поводу фтп точно не могу сказать, но дебаг ACL тебе >поможет Но если я добавлю permit gre any any то получается, что к моему серверу смогут по PPTP ломится из вне кто угодно? Я добалял ip inspect name Standart ftp... не помогает. дебаг ACL надо делать так???: debug ip packet #ACL если да, то как от туда выловить что надо, а то там совсем уж много всего.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IOS firewall"
	Сообщение от CoreDump (ok) on 17-Ноя-06, 14:29
	>Но если я добавлю >permit gre any any >то получается, что к моему серверу смогут по PPTP ломится из вне >кто угодно? Нет. Надо сначала установить соединение по tcp(1723) >дебаг ACL надо делать так???: >debug ip packet #ACL Лучше всего я думаю так. к deny ip any any добавить ключик log. (deny ip any any log) Eсли телнетом заходишь надо сделать term mon из config режима для включения вывода отладки на терминал. Если с консоли то не надо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]