URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1289
[ Назад ]

Исходное сообщение
"ACL не работает"

Отправлено star117 , 31-Мрт-14 06:15 
Доброго времени суток!

Для Cisco3825 решил сменить порт SSH

#>conf t
ip ssh port 3333 rotary 1
line vty 0 15
rotary 1

Тут вопросов нет, работает.
Теперь хочу закрыть tcp порт 22.
#>ip access-list extended port22dis
deny   tcp any host x.x.x.x eq 22
permit ip any any
Применяю на нужном порту роутера:
int gi0/0.1
ip access-group port22dis in

Вот тут оказывается, что порт 22 не закрыт.
С удалённой машины:
nmap -sT x.x.x.x

Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
Host is up (0.0043s latency).
Not shown: 998 closed ports
PORT     STATE    SERVICE
22/tcp   filtered ssh

Подскажите, где я делаю ошибку?
Или может быть есть тонкость какая-то?


Содержание

Сообщения в этом обсуждении
"ACL не работает"
Отправлено crash , 31-Мрт-14 06:52 
> Вот тут оказывается, что порт 22 не закрыт.
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT     STATE    SERVICE
> 22/tcp   filtered ssh

Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым


Зачем закрывать порт, на котором ничего не слушается?



"ACL не работает"
Отправлено elk_killa , 31-Мрт-14 07:51 
>[оверквотинг удален]
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT     STATE    SERVICE
> 22/tcp   filtered ssh
> Подскажите, где я делаю ошибку?
> Или может быть есть тонкость какая-то?

а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у icmp type 3? посмотрите траффик


"ACL не работает"
Отправлено star117 , 31-Мрт-14 10:53 
>[оверквотинг удален]
>> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
>> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
>> Host is up (0.0043s latency).
>> Not shown: 998 closed ports
>> PORT     STATE    SERVICE
>> 22/tcp   filtered ssh
>> Подскажите, где я делаю ошибку?
>> Или может быть есть тонкость какая-то?
> а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у
> icmp type 3? посмотрите траффик

Если я попробую приконнектиться по ssh на 22 порт к роутеру - соединение проходит. То есть порт однозначно открыт не только nmap'у.


"ACL не работает"
Отправлено elk_killa , 31-Мрт-14 11:32 
> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
> соединение проходит. То есть порт однозначно открыт не только nmap'у.

мб соединение проходит не со стороны интерфейса gi0/0.1?


"ACL не работает"
Отправлено star117 , 31-Мрт-14 13:07 
>> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
>> соединение проходит. То есть порт однозначно открыт не только nmap'у.
> мб соединение проходит не со стороны интерфейса gi0/0.1?

Точно на нём.
Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на них access-group - acl запрещающий коннект на 22 порт для всех 3-х. И коннектица с удалённой машины могу на все три IP. :(


"ACL не работает"
Отправлено elk_killa , 31-Мрт-14 13:46 

> Точно на нём.
> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
> них access-group - acl запрещающий коннект на 22 порт для всех
> 3-х. И коннектица с удалённой машины могу на все три IP.
> :(

а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано


"ACL не работает"
Отправлено star117 , 01-Апр-14 05:51 

>> Точно на нём.
>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>> них access-group - acl запрещающий коннект на 22 порт для всех
>> 3-х. И коннектица с удалённой машины могу на все три IP.
>> :(
> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано

Сейчас ACL выглядит вот так:
#>ip access-list extended port22dis
deny   tcp any host x.x.x.x eq 22
deny   tcp any host y.y.y.y eq 22
deny   tcp any host z.z.z.z eq 22
permit ip any any
Я сам не могу понять почему это не работает....


"ACL не работает"
Отправлено GolDi , 01-Апр-14 09:15 
>>> Точно на нём.
>>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>>> них access-group - acl запрещающий коннект на 22 порт для всех
>>> 3-х. И коннектица с удалённой машины могу на все три IP.
>>> :(
>> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis

по моему extended на tty  нельзя применять
> deny   tcp any host x.x.x.x eq 22
> deny   tcp any host y.y.y.y eq 22
> deny   tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....


"ACL не работает"
Отправлено elk_killa , 01-Апр-14 09:32 
> по моему extended на tty  нельзя применять
>> deny   tcp any host x.x.x.x eq 22
>> deny   tcp any host y.y.y.y eq 22
>> deny   tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....

в первом сообщении ТС его на интерфейсе вешает


"ACL не работает"
Отправлено star117 , 01-Апр-14 11:07 
>> по моему extended на tty  нельзя применять
>>> deny   tcp any host x.x.x.x eq 22
>>> deny   tcp any host y.y.y.y eq 22
>>> deny   tcp any host z.z.z.z eq 22
>>> permit ip any any
>>> Я сам не могу понять почему это не работает....
> в первом сообщении ТС его на интерфейсе вешает

Этот acl теперь указан как access-group на интерфейсах к каждому провайдеру.


"ACL не работает"
Отправлено elk_killa , 01-Апр-14 09:33 
а что за железка/софт?

> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis
> deny   tcp any host x.x.x.x eq 22
> deny   tcp any host y.y.y.y eq 22
> deny   tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....


"ACL не работает"
Отправлено star117 , 01-Апр-14 11:05 
> а что за железка/софт?
>> Сейчас ACL выглядит вот так:
>> #>ip access-list extended port22dis
>> deny   tcp any host x.x.x.x eq 22
>> deny   tcp any host y.y.y.y eq 22
>> deny   tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....

Cisco 3825 ISR


"ACL не работает"
Отправлено star117 , 01-Апр-14 11:14 
Чудеса!
Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить?
Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview).

Заранее спасибо.
ТС.


"ACL не работает"
Отправлено Scrooge , 19-Мрт-15 18:34 
> Чудеса!
> Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по
> ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
> Остаётся лишь один вопрос всем кто это читает: у вас такое было?
> Если да, то нашли ли вы причину и смогли ли исправить?
> Может это важно: провайдеров у меня 3, нагрузки на момент вопроса -
> никакой, настроено BGP-соседство пока с одним провайдером (fullview).
> Заранее спасибо.
> ТС.

Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню).
Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...