форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Access Control List"	+/–
Сообщение от SHAH (ok) on 05-Янв-16, 15:51
Здравствуйте уважаемые пользователи форума. Прошу Вашей помощи. Задача вот какая, есть ftp сервер к которому нужно обращаться только по  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также надо чтобы FTP шел в интернет, конфигурирую  след.образом: ip access-list extended for-ftp-server permit tcp any host 40.0.0.2 eq www permit tcp any host 40.0.0.2 eq ftp permit ip host 10.0.0.10 host 40.0.0.2 ip access-group for-ftp-server out Все работает как нужно, только ftp все ровно в интернет не идет. https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит! Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это нужно реализовать. Заранее благодарен!!! :)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Access Control List"	+/–
Сообщение от reader (ok) on 05-Янв-16, 18:54
> Здравствуйте уважаемые пользователи форума. > Прошу Вашей помощи. > Задача вот какая, есть ftp сервер к которому нужно обращаться только по >  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также > надо чтобы FTP шел в интернет, конфигурирую  след.образом: > ip access-list extended for-ftp-server >  permit tcp any host 40.0.0.2 eq www >  permit tcp any host 40.0.0.2 eq ftp >  permit ip host 10.0.0.10 host 40.0.0.2 при ftp используется не только ftp, а от режима еще и направления разные, неговоря уже про порты. > ip access-group for-ftp-server out а out это в куда? > Все работает как нужно, только ftp все ровно в интернет не идет. > https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит! > Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это > нужно реализовать. Заранее благодарен!!! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Access Control List"	+/–
	Сообщение от SHAH (ok) on 06-Янв-16, 12:17
	>[оверквотинг удален] >>  permit tcp any host 40.0.0.2 eq ftp >>  permit ip host 10.0.0.10 host 40.0.0.2 > при ftp используется не только ftp, а от режима еще и направления > разные, неговоря уже про порты. >> ip access-group for-ftp-server out > а out это в куда? >> Все работает как нужно, только ftp все ровно в интернет не идет. >> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит! >> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это >> нужно реализовать. Заранее благодарен!!! :) Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать ACL что запретить обращение по какому-либо  протоколу и при этом не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это нужно реализовать помогите!!! Буду очень благодарен!!! :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Access Control List"	+/–
	Сообщение от crash (ok) on 06-Янв-16, 19:15
	> Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать > ACL что запретить обращение по какому-либо  протоколу и при этом > не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это > нужно реализовать помогите!!! > Буду очень благодарен!!! :) запрещаете доступ из локальных сетей и разрешаете со всех остальных.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Access Control List"	+/–
Сообщение от vigogne (ok) on 10-Янв-16, 20:46
>[оверквотинг удален] > надо чтобы FTP шел в интернет, конфигурирую  след.образом: > ip access-list extended for-ftp-server >  permit tcp any host 40.0.0.2 eq www >  permit tcp any host 40.0.0.2 eq ftp >  permit ip host 10.0.0.10 host 40.0.0.2 > ip access-group for-ftp-server out > Все работает как нужно, только ftp все ровно в интернет не идет. > https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит! > Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это > нужно реализовать. Заранее благодарен!!! :) Ну давайте разберем Ваш пример: Читаем слева-направо: 1 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 80 порт (www) 2 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 21 порт (ftp) 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any) Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group for-ftp-server in) Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут излишне. Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp... там довольно просто описаны ACL для самых распространенных сервисов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Access Control List"	+/–
	Сообщение от SHAH (ok) on 12-Янв-16, 13:27
	>[оверквотинг удален] > (ftp) > 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2 > 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any) > Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group > for-ftp-server in) > Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд > ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут > излишне. > Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp... > там довольно просто описаны ACL для самых распространенных сервисов. Да, это я уже понял, что я в не правильном порядке написал правила. Спасибо. Знал о ней давно, но к сожалению в ней ответ на свой вопрос не нашел. Хотя конечно стоит её еще раз причитать. Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы делали? Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!! P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень долго сижу в ACL! Заранее благодарен!!!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Access Control List"	+/–
	Сообщение от vigogne (ok) on 12-Янв-16, 20:50
	>[оверквотинг удален] > Да, это я уже понял, что я в не правильном порядке написал > правила. > Спасибо. Знал о ней давно, но к сожалению в ней ответ на > свой вопрос не нашел. Хотя конечно стоит её еще раз причитать. > Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы > делали? > Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!! > P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень > долго сижу в ACL! > Заранее благодарен!!! Да чем же Вам поможет моя "простынка" правил? У меня же и структура сети совершенно другая, и набор сервисов и решаемые задачи... Так Вы еще больше запутаетесь :) сделайте проще, создайте всего два правила: 1 permit tcp any any established #чтобы пропускать пакеты уже установленных соединений 99 deny ip any any log-input #чтобы увидеть в консоли, какие пакеты отбрасываются вешаете его на внешний интерфейс в направлении in и, пытаясь подключиться к нужным сервисам с внешних хостов, смотрите вывод лога (не забываем про ter mon) Помогу разобрать лог. Вываливаться будет примерно такие строчки: Jan 12 19:47:42.649: %SEC-6-IPACCESSLOGP: list acl-in-brd denied tcp 10.77.12.3(44351) (Port-channel1.170 001f.12c6.907a) -> 10.45.10.3(8080), 2 packets 1. Время и дата события 2. Тип лог-сообщения 3. Название ACL (после слова list) 4. Результат обработки пакета. В данном случае - отброшен (denied) 5. Протокол - tcp 6. Адрес и порт, с которого пришел пакет 7. Интерфейс (имя и его mac-адрес) 8. Адрес и порт хоста, на который был отправлен пакет 9. Количество обработанных пакетов. Теперь, чтобы дать доступ к сервису, висящему на порту 8080 на сервере 10.45.10.3, нужно добавить в ACL правило: 2 permit tcp any host 10.45.10.3 eq 8080 Надеюсь, что помог Вам, тем более, как Вы говорите, давно сидите с ACL, уже должны на лету схватывать ;)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Access Control List"	+/–
Сообщение от ShyLion (ok) on 11-Янв-16, 07:14
> Здравствуйте уважаемые пользователи форума. > Прошу Вашей помощи. > Задача вот какая, есть ftp сервер к которому нужно обращаться только по >  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также > надо чтобы FTP шел в интернет, конфигурирую  след.образом: FTP за НАТом? Если из внешних сетей (интернета) нужно чтобы был доступ к FTP сервису, то какой практический смысл запрещать к нему доступ изнутри? Если прямо очень хочется, то в таком случае гораздо проще сделать это средствами самого FTP сервера/сервиса. Чтобы полноценно фильтровать FTP, фаервол должен уметь заглядывать "внутрь" FTP протокола, потому что этот протокол является сложным с точки зрения регулирования доступа - он для передачи данных (в том числе листинга файлов) использует отдельное сетевое соединение номером порта 20 с одной стороны и случайно (в общем случае) выбраным номером порта с другой стороны, причем направление соединения зависит о выбранного клиентом режима работы, коих в первоначальной версии протокола два, а в более поздних добавили еще варианты. По этому - простым аксес-листом не получится полностью отделаться, останутся варианты когда ничего не заработает. Выход - использовать ALG, т.е. либо ip inspect либо Zone Based Firewall. ZBF самый свежий метод. Пример (бездумно не копировать, а понять смысл): ip inspect log drop-pkt zone security LAN zone security INET object-group service good_ICMP icmp echo icmp echo-reply icmp parameter-problem icmp unreachable icmp source-quench icmp traceroute icmp time-exceeded ip access-list extended zbfc_ICMP permit object-group good_ICMP any any class-map type inspect match-any zbfc_ICMP match access-group name zbfc_ICMP class-map type inspect match-any zbfc_FTP match protocol ftp class-map type inspect match-any zbfc_INET_IN_SELF match protocol ssh match protocol ntp policy-map type inspect zbfp_INET2LAN class zbfc_FTP   inspect class class-default   drop policy-map type inspect zbfp_INET2SELF class zbfc_INET_IN_SELF   pass class zbfc_ICMP   pass class-map type inspect match-any zbfc_DROP_OUT match protocol bittorrent match protocol pptp match protocol l2tp ! class-map type inspect match-any zbfc_INSPECT_OUT match protocol ftp match protocol tcp match protocol udp match protocol icmp policy-map type inspect zbfp_LAN2INET class zbfc_DROP_OUT   drop log class zbfc_INSPECT_OUT   inspect class class-default   pass zone-pair security zp_INET2LAN source INET destination LAN service-policy type inspect zbfp_INET2LAN zone-pair security zp_INET2SELF source INET destination self service-policy type inspect zbfp_INET2SELF zone-pair security zp_LAN2INET source LAN destination INET service-policy type inspect zbfp_LAN2INET interface Vlan1   ip nat inside   zone-member security LAN interface Dial1   ip nat outside   zone-member security INET ip nat inside static tcp 10.ftp.srv.ip 21 interface Dial1 21
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема