URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16606
[ Назад ]

Исходное сообщение
"Динамический ACL…."
Отправлено sergeyfromkomi , 26-Июн-08 18:05

Подскажите пожалуйста !!!!! Как корректно настроить на cisce 28 серии ACL лист на входящий/исходящий трафик ? В обратном направлении (из LAN в WAN)вроде всё ясно: для разрешения только http запросов я разрешаю порт tcp 80 и udp 53 , а всё остальное закрываю (any deny) – так клиент из Lan сможет ходить ТОЛЬКО по http.
Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме http ? Проблема в том что при обратном ответе WEB сервера попытается установить обратное соединение с юзером по другому (динамическому) порту (80 порт занят инициализацией первого запроса клиента) а мне надо его разрешит а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. ?????
P.S. спасибо за ответ…
Если разбогатею то обязательно найду и отблагодарю!

Содержание

Динамический ACL….,SergTel, 22:05 , 26-Июн-08
Динамический ACL….,CrAzOiD, 01:22 , 27-Июн-08
Динамический ACL….,SergTel, 13:01 , 27-Июн-08
- Динамический ACL….,DeeJayBee, 15:33 , 27-Июн-08
- Динамический ACL….,DeeJayBee, 15:46 , 27-Июн-08
  - Динамический ACL….,SergTel, 17:21 , 27-Июн-08
Динамический ACL….,flashdumper, 14:13 , 27-Июн-08

Сообщения в этом обсуждении

"Динамический ACL…."
Отправлено SergTel , 26-Июн-08 22:05

>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
Вначале это:
http://www.ciscolab.ru/2006/09/18/page,2,access_list1.html
потом:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...

"Динамический ACL…."
Отправлено CrAzOiD , 27-Июн-08 01:22

>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
смотреть в сторону:
1. permit established
2. reflective acl
3. ip inspect - самый правильный вариант

"Динамический ACL…."
Отправлено SergTel , 27-Июн-08 13:01

>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента)
Это какой-то очень хитрый вэб
имеющий софт на стороне клиента?
Я всегда считал что динамический порт открывает сессию и ждет ответ на на этот-же порт.
После окончания сессии порт освобождается. Принимает данные динамический порт с определенного адреса и порта.
Если я ошибаюсь поправте меня.

"Динамический ACL…."
Отправлено DeeJayBee , 27-Июн-08 15:33

Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……

"Динамический ACL…."
Отправлено DeeJayBee , 27-Июн-08 15:46

Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……

"Динамический ACL…."
Отправлено SergTel , 27-Июн-08 17:21

>[оверквотинг удален]
>>на на этот-же порт.
>>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>>и порта.
>
>Надо только проконтролировать что б этот порт был инициализирован клиентом и
>разрешить проход трафика через него( через порт) от сервера к клиенту.
>А затем закрыть порт чтоб никто и низа что не чё
>плохое в него не с(р)(л)ал.
>
>Это вроде у КИСКИ называется ip inspect……
Динамический порт на хосте закрывается автоматически по окончании сессии или по тайм-ауту
и ip inspect его никак не закроет
назначение инспекта блокировать атаки через и на маршрутизатор

"Динамический ACL…."
Отправлено flashdumper , 27-Июн-08 14:13

>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
это называется CBAC батенька... правильно вам говорят ip inspect в помощь