URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13274
[ Назад ]

Исходное сообщение
"ACL на рутере cisco с nat"

Отправлено slaynew , 07-Апр-07 08:40 
Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен PAT. Задача сделать чтобы из вне все было закрыто, а юзеры из локалки наоборот все видели в инете. Если сделать acl который будет рубить все (deny ip any any), то не будет работать и сам PAT. Неужели на циске нельзя настроить как в линуксовом iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT?

На данный момент сделал костыльный ACL, который режет только явно открытые сервисы на циске - telnet и icmp echo. Но это явно неправильно. Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик из вне только для сессий, открытых выходящим пакетом. Но при этом не будет работать часть протоколов, таких как FTP в активном режиме, т.к. ответ от FTP идет не на порт, которым была открыта сессия (использовать только passive ftp не подходит).

Подскажите как грамотно написать acl для моего случая.

interface FastEthernet0/0
description to_lan
ip address 10.10.10.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/1/0
description to_inet
ip address x.x.x.1 255.255.255.252
ip access-group 101 in
ip nat outside
no fair-queue
!
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.2
!
ip nat inside source list 1 interface Serial0/1/0 overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 101 deny icmp any any
access-list 101 deny tcp any any eq telnet
access-list 101 permit ip any any


Содержание

Сообщения в этом обсуждении
"ACL на рутере cisco с nat"
Отправлено Изгой , 09-Апр-07 10:15 
>Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен
>PAT. Задача сделать чтобы из вне все было закрыто, а юзеры
>из локалки наоборот все видели в инете. Если сделать acl который
>будет рубить все (deny ip any any), то не будет работать
>и сам PAT. Неужели на циске нельзя настроить как в линуксовом
>iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT?
>
>На данный момент сделал костыльный ACL, который режет только явно открытые сервисы
>на циске - telnet и icmp echo. Но это явно неправильно.
>Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик
>из вне только для сессий, открытых выходящим пакетом. Но при этом
>не будет работать часть протоколов, таких как FTP в активном режиме,
>т.к. ответ от FTP идет не на порт, которым была открыта
>сессия (использовать только passive ftp не подходит).
>
>Подскажите как грамотно написать acl для моего случая.
>
>interface FastEthernet0/0
>description to_lan
>ip address 10.10.10.1 255.255.255.0
>ip nat inside
>duplex auto
>speed auto
>!
>interface Serial0/1/0
>description to_inet
>ip address x.x.x.1 255.255.255.252
>ip access-group 101 in
>ip nat outside
>no fair-queue
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 x.x.x.2
>!
>ip nat inside source list 1 interface Serial0/1/0 overload
>!
>access-list 1 permit 10.10.10.0 0.0.0.255
>access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
>access-list 101 deny icmp any any
>access-list 101 deny tcp any any eq telnet
>access-list 101 permit ip any any

Грамотно , наверно всё таки поднять на кошке CBAC , а впринципе чтоб грамотно написать акл надо знать что вы хотите предоставить пользователям , но в обычном акл нельз отследить udp только TCP , прописывать придёться ручками всё