URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11999
[ Назад ]

Исходное сообщение
"IOS firewall"
Отправлено Gintonik , 16-Ноя-06 15:26

Я что-то не понимаю или что-то не так сделал...
Есть циска, которая, смотрит в инет, в DMZ и например в локальную сеть.
Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configur...) и сделал следующее:
   38     ip inspect name Standart tcp
   39     ip inspect name Standart icmp
   40     ip inspect name Standart udp
  160     interface FastEthernet0/0.2
  161      description External interface
  163      encapsulation dot1Q 2
  164      ip address 195.34.34.34 255.255.255.252
  165      ip access-group 153 in
  166      no ip unreachables
  167      ip flow ingress
  168      ip inspect Standart in
  169      ip inspect Standart out
  170      no snmp trap link-status
  171      no cdp enable
  194     interface FastEthernet0/1.4
  195      description DMZ
  196      encapsulation dot1Q 4
  197      ip address 192.168.100.33 255.255.255.224
  198      ip access-group 155 in
  199      ip access-group 154 out
  200      ip flow ingress
  201      ip inspect Standart in
  202      ip inspect Standart out
  203      no snmp trap link-status
  341     access-list 153 remark Main-input access list
  350     access-list 153 deny   tcp any any eq 135
  351     access-list 153 deny   tcp any any eq 137
  352     access-list 153 deny   tcp any any eq 139
  353     access-list 153 deny   tcp any any eq 138
  354     access-list 153 deny   tcp any any eq 445
  355     access-list 153 deny   tcp any any eq 1434
  356     access-list 153 deny   tcp any any eq 1433
  361     access-list 153 permit ip any 192.168.100.0 0.0.0.31
  362     access-list 153 permit ip any 192.168.100.32 0.0.0.31
  365     access-list 153 permit icmp any any time-exceeded
  366     access-list 153 permit icmp any any unreachable
  367     access-list 153 permit icmp any any echo-reply
  368     access-list 153 deny   ip any any

  369     access-list 154 remark DMZ input
  391     access-list 154 permit tcp any host 192.168.100.45 eq www
  415     access-list 154 deny   ip any any

  416     access-list 155 remark DMZ initiated traffic
  420     access-list 155 permit ip host 192.168.100.45 any
  430     access-list 155 deny   ip any any
--------
В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне могли зайти только на 80 порт, а я с него в инет мог ходить как угодно. Так вот, www с него и на него работает без проблем, а ftp,pptp нет! Где грабли?

Содержание

IOS firewall,EtherDA, 19:14 , 16-Ноя-06
- IOS firewall,Gintonik, 10:13 , 17-Ноя-06
  - IOS firewall,CoreDump, 11:31 , 17-Ноя-06
    - IOS firewall,Gintonik, 12:26 , 17-Ноя-06
      - IOS firewall,CoreDump, 14:29 , 17-Ноя-06

Сообщения в этом обсуждении

"IOS firewall"
Отправлено EtherDA , 16-Ноя-06 19:14

>Я что-то не понимаю или что-то не так сделал...
>Есть циска, которая, смотрит в инет, в DMZ и например в локальную
>сеть.
>Я прочитал статью Configuring Context-Based Access Control (http://www.cisco.com/en/US/products/ps6350/products_configur...) и сделал следующее:
>   38     ip inspect name Standart
>tcp
>   39     ip inspect name Standart
>icmp
>   40     ip inspect name Standart
>udp
>
>  160     interface FastEthernet0/0.2
>  161      description External interface
>  163      encapsulation dot1Q 2
>  164      ip address 195.34.34.34 255.255.255.252
>
>  165      ip access-group 153 in
>
>  166      no ip unreachables
>  167      ip flow ingress
>  168      ip inspect Standart in
>
>  169      ip inspect Standart out
>
>  170      no snmp trap link-status
>
>  171      no cdp enable
>
>  194     interface FastEthernet0/1.4
>  195      description DMZ
>  196      encapsulation dot1Q 4
>  197      ip address 192.168.100.33 255.255.255.224
>
>  198      ip access-group 155 in
>
>  199      ip access-group 154 out
>
>  200      ip flow ingress
>  201      ip inspect Standart in
>
>  202      ip inspect Standart out
>
>  203      no snmp trap link-status
>
>
>  341     access-list 153 remark Main-input access
>list
>  350     access-list 153 deny
>tcp any any eq 135
>  351     access-list 153 deny
>tcp any any eq 137
>  352     access-list 153 deny
>tcp any any eq 139
>  353     access-list 153 deny
>tcp any any eq 138
>  354     access-list 153 deny
>tcp any any eq 445
>  355     access-list 153 deny
>tcp any any eq 1434
>  356     access-list 153 deny
>tcp any any eq 1433
>  361     access-list 153 permit ip any
>192.168.100.0 0.0.0.31
>  362     access-list 153 permit ip any
>192.168.100.32 0.0.0.31
>  365     access-list 153 permit icmp any
>any time-exceeded
>  366     access-list 153 permit icmp any
>any unreachable
>  367     access-list 153 permit icmp any
>any echo-reply
>  368     access-list 153 deny
>ip any any
>
>  369     access-list 154 remark DMZ input
>
>  391     access-list 154 permit tcp any
>host 192.168.100.45 eq www
>  415     access-list 154 deny
>ip any any
>
>  416     access-list 155 remark DMZ initiated
>traffic
>  420     access-list 155 permit ip host
>192.168.100.45 any
>  430     access-list 155 deny
>ip any any
>--------
>В DMZ cтоит вэб-сервер(192.168.100.45 ). Я хочу чтобы на него из вне
>могли зайти только на 80 порт, а я с него в
>инет мог ходить как угодно. Так вот, www с него и
>на него работает без проблем, а ftp,pptp нет! Где грабли?
Я думаю грабли в том что ППТП сначала организует tcp соединение на порт 1723 а затем организуется gre туннель, трафик которого успешно забривается. А ФТП соединяется по 21 порту а данные передает по 20-му. ИМХО копать надо в этом направлении и продебажить акцесс листы

"IOS firewall"
Отправлено Gintonik , 17-Ноя-06 10:13

>
>Я думаю грабли в том что ППТП сначала организует tcp соединение на
>порт 1723 а затем организуется gre туннель, трафик которого успешно забривается.
>А ФТП соединяется по 21 порту а данные передает по 20-му.
>ИМХО копать надо в этом направлении и продебажить акцесс листы

А разве ip inspect не должен динамически порты открывать?

"IOS firewall"
Отправлено CoreDump , 17-Ноя-06 11:31

   38     ip inspect name Standart tcp
   39     ip inspect name Standart icmp
   40     ip inspect name Standart udp
Где тут gre ? :) Это отдельный протокол (номер 47)
Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
permit gre any any. и если мое предположение верное pptp должен заработать.
А по поводу фтп точно не могу сказать, но дебаг ACL тебе поможет

"IOS firewall"
Отправлено Gintonik , 17-Ноя-06 12:26

>   38     ip inspect name Standart
>tcp
>   39     ip inspect name Standart
>icmp
>   40     ip inspect name Standart
>udp
>
>Где тут gre ? :) Это отдельный протокол (номер 47)
>Это по поводу pptp. попробуйте в acl на вход в ДМЗ добавить
>
>permit gre any any. и если мое предположение верное pptp должен заработать.
>
>А по поводу фтп точно не могу сказать, но дебаг ACL тебе
>поможет
Но если я добавлю
permit gre any any
то получается, что к моему серверу смогут по PPTP ломится из вне кто угодно?
Я добалял ip inspect name Standart ftp... не помогает.
дебаг ACL надо делать так???:
debug ip packet #ACL
если да, то как от туда выловить что надо, а то там совсем уж много всего.

"IOS firewall"
Отправлено CoreDump , 17-Ноя-06 14:29

>Но если я добавлю
>permit gre any any
>то получается, что к моему серверу смогут по PPTP ломится из вне
>кто угодно?
Нет. Надо сначала установить соединение по tcp(1723)

>дебаг ACL надо делать так???:
>debug ip packet #ACL
Лучше всего я думаю так. к deny ip any any добавить ключик log. (deny ip any any log)
Eсли телнетом заходишь надо сделать term mon из config режима для включения вывода отладки на терминал. Если с консоли то не надо.