URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18779
[ Назад ]

Исходное сообщение
"permit tcp any any established - unsupported SDM rule"

Отправлено Remy , 30-Апр-09 14:16 
Добрый день,
после создания правила, с параметром established
конфигурация Firewall правил через Web-интерфейс стала невозможна.

подскажите пожалуйста:
1. так и должно быть или можно этого избежать?
2. можно ли не использовать параметр established? но чтоб все работало?


Содержание

Сообщения в этом обсуждении
"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 04-Май-09 19:00 
Up!

"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 13-Май-09 09:47 
>Up!

Up!


"permit tcp any any established - unsupported SDM rule"
Отправлено sh_ , 13-Май-09 10:33 
:) А вы что хотите сделать?

"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 13-Май-09 10:44 
>:) А вы что хотите сделать?

я хочу настроить элементарные правила работы на фаерволе.
если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
permit tcp any any established

+ мне необходимо чтоб веб-интерфейс продолжал работать, так как аутсорсер на объекте не в зуб ногой по работе через консоль, а по вебу еще есть шанс его обучуть


"permit tcp any any established - unsupported SDM rule"
Отправлено sh_ , 13-Май-09 11:43 
>>:) А вы что хотите сделать?
>
>я хочу настроить элементарные правила работы на фаерволе.
>если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
>permit tcp any any established

это не так.


"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 13-Май-09 16:06 
>>>:) А вы что хотите сделать?
>>
>>я хочу настроить элементарные правила работы на фаерволе.
>>если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
>>permit tcp any any established
>
>это не так.

спасибо за ответ.
вы могли бы привести простейший пример правил, например разрешающий:
все на выход, а на вход, чтоб работали только определенные порты на которые прописан статический NAT, например 25.

сейчас у меня сделано так:

NAT
Standard IP access list 1
    10 permit 10.10.9.0, wildcard bits 0.0.0.255

Outgoing
Extended IP access list 100
    10 permit tcp host 10.10.9.252 any eq smtp (36433 matches)
    20 deny tcp any any eq smtp log
*default rules by Cisco
    30 deny ip 111.111.111.111 0.0.0.7 any (11 matches)
    40 deny ip host 255.255.255.255 any
    50 deny ip 127.0.0.0 0.255.255.255 any
    60 permit ip any any (2221189 matches)

Incoming
Extended IP access list 101
    80 permit tcp any host 111.111.111.111 eq smtp (16591 matches)
    90 permit tcp any host 111.111.111.111 eq 22 (380 matches)
    100 permit tcp any host 111.111.111.111 eq www
    110 permit tcp any host 111.111.111.111 eq 443 (3480 matches)
    120 permit tcp any host 111.111.111.111 eq 5551
    130 permit tcp any host 111.111.111.111 eq 5552 (7 matches)
    140 permit udp host 213.150.64.12 eq domain host 111.111.111.111 (66405 matches)
    150 permit udp host 213.150.65.122 eq domain host 111.111.111.111 (44466 matches)

*default rules by Cisco
    160 deny ip 10.10.9.0 0.0.0.255 any
    170 permit icmp any host 111.111.111.111 echo-reply (5 matches)
    180 permit icmp any host 111.111.111.111 time-exceeded (549 matches)
    190 permit icmp any host 111.111.111.111 unreachable (162 matches)
    200 deny ip 10.0.0.0 0.255.255.255 any
    210 deny ip 172.16.0.0 0.15.255.255 any
    220 deny ip 192.168.0.0 0.0.255.255 any
    230 deny ip 127.0.0.0 0.255.255.255 any
    240 deny ip host 255.255.255.255 any
    250 deny ip host 0.0.0.0 any

**правило о котором идет речь
    260 permit tcp any any established (2772270 matches)

    270 deny ip any any log (2914 matches)

Что не правильно здесь (все работает)? Как можно улучшить или упростить?
Почему Cisco говорит что правило permit tcp any any established - unsupported SDM rule
И блокирует управление firewall по web интерфейсу

Спасибо.


"permit tcp any any established - unsupported SDM rule"
Отправлено sh_ , 13-Май-09 17:43 

>вы могли бы привести простейший пример правил, например разрешающий:
>все на выход, а на вход, чтоб работали только определенные порты на
>которые прописан статический NAT, например 25.

Где-то так.
access-list 100 permit tcp any any eq 25
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any established

Но лучше покажите конфиг.


"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 13-Май-09 18:52 
>[оверквотинг удален]
>>все на выход, а на вход, чтоб работали только определенные порты на
>>которые прописан статический NAT, например 25.
>
>Где-то так.
>access-list 100 permit tcp any any eq 25
>access-list 100 permit tcp any any eq 80
>access-list 100 permit tcp any any eq 443
>access-list 100 permit tcp any any established
>
>Но лучше покажите конфиг.

Спасибо.
но вы же сказали что от ключа established можно отказаться или нет?
С его использованием конфигурация правил через Web станет невозможной.

конфиг:

router#sh run
Building configuration...

Current configuration : 9142 bytes
!
version 12.4
service timestamps debug datetime
service timestamps log datetime
service password-encryption
!
hostname router
!
boot-start-marker
boot system flash:c1841-advsecurityk9-mz.124-5a.bin
boot-end-marker
!
logging buffered 10000 debugging
enable secret 5 ******************
!
aaa new-model
!
!
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone GMT 3
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip cef
!        
!
!
!
ip domain name domain.ru
ip name-server 213.150.64.12
ip name-server 213.150.65.122
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki *************
!
crypto pki certificate *******
  quit
username adminz privilege 15 password 7 ***
username userz privilege 0 password 7 ***
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes 256
group 2
!
crypto isakmp policy 3
encr 3des
group 2
!
crypto isakmp client configuration group ***_vpn
key ***
dns 10.10.9.253
domain domain.local
pool SDM_POOL_1
!
!
crypto ipsec transform-set ***_vpn esp-aes 256 esp-sha-hmac
!        
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ***_vpn
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
interface FastEthernet0/0
description ###outside interface###$FW_OUTSIDE$$ETH-WAN$
ip address 111.111.111.111 255.255.255.248
ip access-group 101 in
ip verify unicast reverse-path
ip accounting output-packets
ip nat outside
ip virtual-reassembly
speed 100
full-duplex
crypto map SDM_CMAP_1
!
interface FastEthernet0/1
description ###inside interface###$FW_INSIDE$$ETH-LAN$
ip address 10.10.9.254 255.255.255.0
ip access-group 100 in
ip accounting output-packets
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool SDM_POOL_1 10.10.1.1 10.10.1.25
ip route 0.0.0.0 0.0.0.0 111.111.111.110
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source static tcp 10.10.9.253 1723 interface FastEthernet0/0 1723
ip nat inside source static tcp 10.10.9.254 22 interface FastEthernet0/0 22
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.10.9.253 3389 interface FastEthernet0/0 5551
ip nat inside source static tcp 10.10.9.252 3389 interface FastEthernet0/0 5552
ip nat inside source static udp 10.10.9.253 53 interface FastEthernet0/0 53
ip nat inside source static tcp 10.10.9.252 25 interface FastEthernet0/0 25
ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443
ip nat inside source static tcp 10.10.9.254 10000 interface FastEthernet0/0 10000
ip dns server
!
access-list 1 remark permit_nat
access-list 1 remark SDM_ACL Category=16
access-list 1 permit 10.10.9.0 0.0.0.255
access-list 100 permit tcp host 10.10.9.252 any eq smtp
access-list 100 remark Deny SMTP
access-list 100 deny   tcp any any eq smtp log
access-list 100 deny   ip 111.111.111.109 0.0.0.7 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit gre any any log
access-list 101 permit tcp any host 111.111.111.111 eq 1723
access-list 101 permit tcp any host 111.111.111.111 eq 10000
access-list 101 permit udp any host 111.111.111.111 eq isakmp
access-list 101 permit udp any eq isakmp host 111.111.111.111
access-list 101 permit udp any host 111.111.111.111 eq non500-isakmp
access-list 101 permit udp any eq non500-isakmp host 111.111.111.111
access-list 101 permit tcp any host 111.111.111.111 eq smtp
access-list 101 permit tcp any host 111.111.111.111 eq 22
access-list 101 permit tcp any host 111.111.111.111 eq www
access-list 101 permit tcp any host 111.111.111.111 eq 443
access-list 101 permit tcp any host 111.111.111.111 eq 5551
access-list 101 permit tcp any host 111.111.111.111 eq 5552
access-list 101 permit udp host 213.150.64.12 eq domain host 111.111.111.111
access-list 101 permit udp host 213.150.65.122 eq domain host 111.111.111.111
access-list 101 deny   ip 10.10.9.0 0.0.0.255 any
access-list 101 permit icmp any host 111.111.111.111 echo-reply
access-list 101 permit icmp any host 111.111.111.111 time-exceeded
access-list 101 permit icmp any host 111.111.111.111 unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 permit tcp any any established
access-list 101 deny   ip any any log
access-list 102 remark SDM_ACL Category=2
access-list 102 deny   ip any host 10.10.1.1
access-list 102 deny   ip any host 10.10.1.2
access-list 102 deny   ip any host 10.10.1.3
access-list 102 deny   ip any host 10.10.1.4
access-list 102 deny   ip any host 10.10.1.5
access-list 102 deny   ip any host 10.10.1.6
access-list 102 deny   ip any host 10.10.1.7
access-list 102 deny   ip any host 10.10.1.8
access-list 102 deny   ip any host 10.10.1.9
access-list 102 deny   ip any host 10.10.1.10
access-list 102 deny   ip any host 10.10.1.11
access-list 102 deny   ip any host 10.10.1.12
access-list 102 deny   ip any host 10.10.1.13
access-list 102 deny   ip any host 10.10.1.14
access-list 102 deny   ip any host 10.10.1.15
access-list 102 deny   ip any host 10.10.1.16
access-list 102 deny   ip any host 10.10.1.17
access-list 102 deny   ip any host 10.10.1.18
access-list 102 deny   ip any host 10.10.1.19
access-list 102 deny   ip any host 10.10.1.20
access-list 102 deny   ip any host 10.10.1.21
access-list 102 deny   ip any host 10.10.1.22
access-list 102 deny   ip any host 10.10.1.23
access-list 102 deny   ip any host 10.10.1.24
access-list 102 deny   ip any host 10.10.1.25
access-list 102 permit ip 10.10.9.0 0.0.0.255 any
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
!
control-plane
!
banner login ^CCC
=========================!!!CAUTION!!!===================================
This system is owned by *** Ltd. If you are not authorized to
access this system,exit immediately. Unauthorized access to this system is
forbidden by company policies, national, and international laws.Unauthorized

users are subject to criminal and civil penalties as well as company
initiated disciplinary proceedings.
By entry into this system you acknowledge that you are authorized access
and the level of privilege you subsequently execute on this system. You
further acknowledge that by entry into this system you expect no privacy from mo
nitoring.
=========================================================================
^C
!
line con 0
password 7 ***
line aux 0
password 7 ***
modem InOut
transport input all
flowcontrol hardware
line vty 0 4
access-class vty_access in
password 7 ***
transport input ssh
line vty 5 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end

router#


"permit tcp any any established - unsupported SDM rule"
Отправлено sh_ , 14-Май-09 10:06 

>Спасибо.
>но вы же сказали что от ключа established можно отказаться или нет?

Нет, я такого не говорил.

Я думаю, чтобы sdm работал, нужно вот это убрать.
ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443

Или хотя бы натить не в адрес интерфейса.

PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на цызку?


"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 14-Май-09 11:38 
>[оверквотинг удален]
>Нет, я такого не говорил.
>
>Я думаю, чтобы sdm работал, нужно вот это убрать.
>ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
>ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443
>
>Или хотя бы натить не в адрес интерфейса.
>
>PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на
>цызку?

Нет. Эти дырки у меня пробиты для OWA Exhcange.
SDM-ом я проользуюсь внутри, даже не я, а админ заказчика. Все работает. И web интерфейст тоже. Но, как только появляется правило с ключом established, управление правилами (только это, остально работает как прежде) фаервола через web перестает работать.
И появляется пометка: not supported SDM rule.


"permit tcp any any established - unsupported SDM rule"
Отправлено CrAzOiD , 14-Май-09 14:59 
>Добрый день,
>после создания правила, с параметром established
>конфигурация Firewall правил через Web-интерфейс стала невозможна.
>
>подскажите пожалуйста:
>1. так и должно быть или можно этого избежать?
>2. можно ли не использовать параметр established? но чтоб все работало?

SDM считает что вы будете использовать ip inspect
Поэтому и не принимает правила с established. Что логично.
Используйте ip inspect для возвратных пакетов.


"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 14-Май-09 15:14 
>[оверквотинг удален]
>>после создания правила, с параметром established
>>конфигурация Firewall правил через Web-интерфейс стала невозможна.
>>
>>подскажите пожалуйста:
>>1. так и должно быть или можно этого избежать?
>>2. можно ли не использовать параметр established? но чтоб все работало?
>
>SDM считает что вы будете использовать ip inspect
>Поэтому и не принимает правила с established. Что логично.
>Используйте ip inspect для возвратных пакетов.

спасибо за ответ.
вы могли бы дать пример необходимый (минимальный) для коректного использования?
то что я использовал по умолчанию, намертво подвешивало девайс :(


"permit tcp any any established - unsupported SDM rule"
Отправлено CrAzOiD , 14-Май-09 16:09 
>[оверквотинг удален]
>>>1. так и должно быть или можно этого избежать?
>>>2. можно ли не использовать параметр established? но чтоб все работало?
>>
>>SDM считает что вы будете использовать ip inspect
>>Поэтому и не принимает правила с established. Что логично.
>>Используйте ip inspect для возвратных пакетов.
>
>спасибо за ответ.
>вы могли бы дать пример необходимый (минимальный) для коректного использования?
>то что я использовал по умолчанию, намертво подвешивало девайс :(

Минимально например так:
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
!
interface FastEthernet0/0/0
description Provider
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip access-group FireWall in
ip access-group FireWall_out out
ip nat outside
ip inspect SDM_LOW out
!
ip access-list extended FireWall
deny ip any any
!
ip access-list extended FireWall_out
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 127.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any any
!



"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 14-Май-09 17:33 
>[оверквотинг удален]
>ip access-list extended FireWall
> deny ip any any
>!
>ip access-list extended FireWall_out
> deny   ip any 10.0.0.0 0.255.255.255
> deny   ip any 127.0.0.0 0.255.255.255
> deny   ip any 172.16.0.0 0.15.255.255
> deny   ip any 192.168.0.0 0.0.255.255
> permit ip any any
>!

Спасибо, помогло.
У себя прописал только это:
>ip inspect name SDM_LOW dns
>ip inspect name SDM_LOW ftp
>ip inspect name SDM_LOW icmp
>ip inspect name SDM_LOW tcp
>ip inspect name SDM_LOW udp
>interface FastEthernet0/0
> ip inspect SDM_LOW out

Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или без разнице (what is the best practice?)


"permit tcp any any established - unsupported SDM rule"
Отправлено CrAzOiD , 14-Май-09 18:39 
>[оверквотинг удален]
>
>Спасибо, помогло.
>У себя прописал только это:
>>ip inspect name SDM_LOW dns
>>ip inspect name SDM_LOW ftp
>>ip inspect name SDM_LOW icmp
>>ip inspect name SDM_LOW tcp
>>ip inspect name SDM_LOW udp
>>interface FastEthernet0/0
>> ip inspect SDM_LOW out

Ну, по желанию/необходимости можно включить инспектирование других протоколов.

>Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или
>без разнице (what is the best practice?)

Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты не попадали в маршрутизатор.
Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" брешь для входящих пакетов.



"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 14-Май-09 18:52 
>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты
>не попадали в маршрутизатор.
>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается"
>брешь для входящих пакетов.

неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на внутреннем, или имеет смысл все перенести на внешний?


"permit tcp any any established - unsupported SDM rule"
Отправлено CrAzOiD , 14-Май-09 20:34 
>>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты
>>не попадали в маршрутизатор.
>>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается"
>>брешь для входящих пакетов.
>
>неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на
>внутреннем, или имеет смысл все перенести на внешний?

Это зависит от того как у вас все организовано.
Приведенный в моем примере ACL служит для исключения случайного выброса в сеть провайдера фейковых адресов. Поэтому он на in входящего интерфейса.
А бест практис звучит так: расширенный ACL лучше размещать ближе к блокируемому трафику.


"permit tcp any any established - unsupported SDM rule"
Отправлено Remy , 27-Авг-09 13:43 
>[оверквотинг удален]
>ip inspect name SDM_LOW tcp
>ip inspect name SDM_LOW udp
>!
>interface FastEthernet0/0/0
> description Provider
> ip address xxx.xxx.xxx.xxx 255.255.255.252
> ip access-group FireWall in
> ip access-group FireWall_out out
> ip nat outside
> ip inspect SDM_LOW out

Почему вы прописали
ip inspect SDM_LOW на внешнем интерфейсе, но с ключом out?!