Я что-то не понимаю или что-то не так сделал...
Есть циска, которая, смотрит в инет, в DMZ и например в локальную сеть.
Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configur...) и сделал следующее:
38 ip inspect name Standart tcp
39 ip inspect name Standart icmp
40 ip inspect name Standart udp160 interface FastEthernet0/0.2
161 description External interface
163 encapsulation dot1Q 2
164 ip address 195.34.34.34 255.255.255.252
165 ip access-group 153 in
166 no ip unreachables
167 ip flow ingress
168 ip inspect Standart in
169 ip inspect Standart out
170 no snmp trap link-status
171 no cdp enable194 interface FastEthernet0/1.4
195 description DMZ
196 encapsulation dot1Q 4
197 ip address 192.168.100.33 255.255.255.224
198 ip access-group 155 in
199 ip access-group 154 out
200 ip flow ingress
201 ip inspect Standart in
202 ip inspect Standart out
203 no snmp trap link-status341 access-list 153 remark Main-input access list
350 access-list 153 deny tcp any any eq 135
351 access-list 153 deny tcp any any eq 137
352 access-list 153 deny tcp any any eq 139
353 access-list 153 deny tcp any any eq 138
354 access-list 153 deny tcp any any eq 445
355 access-list 153 deny tcp any any eq 1434
356 access-list 153 deny tcp any any eq 1433
361 access-list 153 permit ip any 192.168.100.0 0.0.0.31
362 access-list 153 permit ip any 192.168.100.32 0.0.0.31
365 access-list 153 permit icmp any any time-exceeded
366 access-list 153 permit icmp any any unreachable
367 access-list 153 permit icmp any any echo-reply
368 access-list 153 deny ip any any
369 access-list 154 remark DMZ input
391 access-list 154 permit tcp any host 192.168.100.45 eq www
415 access-list 154 deny ip any any
416 access-list 155 remark DMZ initiated traffic
420 access-list 155 permit ip host 192.168.100.45 any
430 access-list 155 deny ip any any
--------
В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне могли зайти только на 80 порт, а я с него в инет мог ходить как угодно. Так вот, www с него и на него работает без проблем, а ftp,pptp нет! Где грабли?
>Я что-то не понимаю или что-то не так сделал...
>Есть циска, которая, смотрит в инет, в DMZ и например в локальную
>сеть.
>Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configur...) и сделал следующее:
> 38 ip inspect name Standart
>tcp
> 39 ip inspect name Standart
>icmp
> 40 ip inspect name Standart
>udp
>
> 160 interface FastEthernet0/0.2
> 161 description External interface
> 163 encapsulation dot1Q 2
> 164 ip address 195.34.34.34 255.255.255.252
>
> 165 ip access-group 153 in
>
> 166 no ip unreachables
> 167 ip flow ingress
> 168 ip inspect Standart in
>
> 169 ip inspect Standart out
>
> 170 no snmp trap link-status
>
> 171 no cdp enable
>
> 194 interface FastEthernet0/1.4
> 195 description DMZ
> 196 encapsulation dot1Q 4
> 197 ip address 192.168.100.33 255.255.255.224
>
> 198 ip access-group 155 in
>
> 199 ip access-group 154 out
>
> 200 ip flow ingress
> 201 ip inspect Standart in
>
> 202 ip inspect Standart out
>
> 203 no snmp trap link-status
>
>
> 341 access-list 153 remark Main-input access
>list
> 350 access-list 153 deny
>tcp any any eq 135
> 351 access-list 153 deny
>tcp any any eq 137
> 352 access-list 153 deny
>tcp any any eq 139
> 353 access-list 153 deny
>tcp any any eq 138
> 354 access-list 153 deny
>tcp any any eq 445
> 355 access-list 153 deny
>tcp any any eq 1434
> 356 access-list 153 deny
>tcp any any eq 1433
> 361 access-list 153 permit ip any
>192.168.100.0 0.0.0.31
> 362 access-list 153 permit ip any
>192.168.100.32 0.0.0.31
> 365 access-list 153 permit icmp any
>any time-exceeded
> 366 access-list 153 permit icmp any
>any unreachable
> 367 access-list 153 permit icmp any
>any echo-reply
> 368 access-list 153 deny
>ip any any
>
> 369 access-list 154 remark DMZ input
>
> 391 access-list 154 permit tcp any
>host 192.168.100.45 eq www
> 415 access-list 154 deny
>ip any any
>
> 416 access-list 155 remark DMZ initiated
>traffic
> 420 access-list 155 permit ip host
>192.168.100.45 any
> 430 access-list 155 deny
>ip any any
>--------
>В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне
>могли зайти только на 80 порт, а я с него в
>инет мог ходить как угодно. Так вот, www с него и
>на него работает без проблем, а ftp,pptp нет! Где грабли?Я думаю грабли в том что ППТП сначала организует tcp соединение на порт 1723 а затем организуется gre туннель, трафик которого успешно забривается. А ФТП соединяется по 21 порту а данные передает по 20-му. ИМХО копать надо в этом направлении и продебажить акцесс листы
>
>Я думаю грабли в том что ППТП сначала организует tcp соединение на
>порт 1723 а затем организуется gre туннель, трафик которого успешно забривается.
>А ФТП соединяется по 21 порту а данные передает по 20-му.
>ИМХО копать надо в этом направлении и продебажить акцесс листы
А разве ip inspect не должен динамически порты открывать?
38 ip inspect name Standart tcp
39 ip inspect name Standart icmp
40 ip inspect name Standart udpГде тут gre ? :) Это отдельный протокол (номер 47)
Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
permit gre any any. и если мое предположение верное pptp должен заработать.
А по поводу фтп точно не могу сказать, но дебаг ACL тебе поможет
> 38 ip inspect name Standart
>tcp
> 39 ip inspect name Standart
>icmp
> 40 ip inspect name Standart
>udp
>
>Где тут gre ? :) Это отдельный протокол (номер 47)
>Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
>
>permit gre any any. и если мое предположение верное pptp должен заработать.
>
>А по поводу фтп точно не могу сказать, но дебаг ACL тебе
>поможетНо если я добавлю
permit gre any any
то получается, что к моему серверу смогут по PPTP ломится из вне кто угодно?
Я добалял ip inspect name Standart ftp... не помогает.
дебаг ACL надо делать так???:
debug ip packet #ACL
если да, то как от туда выловить что надо, а то там совсем уж много всего.
>Но если я добавлю
>permit gre any any
>то получается, что к моему серверу смогут по PPTP ломится из вне
>кто угодно?
Нет. Надо сначала установить соединение по tcp(1723)
>дебаг ACL надо делать так???:
>debug ip packet #ACLЛучше всего я думаю так. к deny ip any any добавить ключик log. (deny ip any any log)
Eсли телнетом заходишь надо сделать term mon из config режима для включения вывода отладки на терминал. Если с консоли то не надо.