URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22127
[ Назад ]

Исходное сообщение
"Проблема с ACL"

Отправлено apex2009 , 14-Янв-11 14:07 
Здравствуйте!

Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но как только применяем ACL хост теряет IP адрес и не пингует нужны хосты.

access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.1
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.2
access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
access-list 100 deny ip any any
access-list 100 deny tcp any any
access-list 100 deny udp any any


Содержание

Сообщения в этом обсуждении
"Проблема с ACL"
Отправлено Aleks305 , 14-Янв-11 14:35 
>[оверквотинг удален]
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
> access-list 100 deny ip any any
> access-list 100 deny tcp any any
> access-list 100 deny udp any any

А эти строчки зачем?
access-list 100 deny tcp any any
access-list 100 deny udp any any
Вообще в конце access-list и так неявный запрет есть.
Зачем помимо правил с ip везде писать udp и tcp- это Вы типа icmp запрещаете???
Оставьте тогда только
access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
также зависит работа acl от того, насколько правильно вы его применяете к интерфейсу.

стоит вначале Вам пока почитать правила составления и работы acl


"Проблема с ACL"
Отправлено apex2009 , 14-Янв-11 15:21 
>[оверквотинг удален]
> Вообще в конце access-list и так неявный запрет есть.
> Зачем помимо правил с ip везде писать udp и tcp- это Вы
> типа icmp запрещаете???
> Оставьте тогда только
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
> также зависит работа acl от того, насколько правильно вы его применяете к
> интерфейсу.
> стоит вначале Вам пока почитать правила составления и работы acl

Насчет последних сточек, да действительно погорячились.
ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не владеем.



"Проблема с ACL"
Отправлено VolanD , 14-Янв-11 15:24 
>[оверквотинг удален]
>> Оставьте тогда только
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
>> также зависит работа acl от того, насколько правильно вы его применяете к
>> интерфейсу.
>> стоит вначале Вам пока почитать правила составления и работы acl
> Насчет последних сточек, да действительно погорячились.
> ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не
> владеем.

Выложите полную схему сети+ конфиги. А то так совсем ничего не понятно)))


"Проблема с ACL"
Отправлено crash , 17-Янв-11 05:47 
> Здравствуйте!
> Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но
> как только применяем ACL хост теряет IP адрес и не пингует
> нужны хосты.

Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение DHCP?


"Проблема с ACL"
Отправлено apex2009 , 17-Янв-11 07:23 
> Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение
> DHCP?

Нет, не получает. В том то и дело. А правило проиписано по UDP.
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1


"Проблема с ACL"
Отправлено aZL , 17-Янв-11 08:59 
Если хотите пинговать, то разрешите icmp
access-list 100 permit icmp ...



"Проблема с ACL"
Отправлено apex2009 , 17-Янв-11 11:16 
> Если хотите пинговать, то разрешите icmp
> access-list 100 permit icmp ...

Дело не в пинге. Хост почему то не получает IP-адрес.
Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp host 172.16.1.8 host 172.16.1.1



"Проблема с ACL"
Отправлено Aleks305 , 17-Янв-11 11:22 
>> Если хотите пинговать, то разрешите icmp
>> access-list 100 permit icmp ...
> Дело не в пинге. Хост почему то не получает IP-адрес.
> Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp
> host 172.16.1.8 host 172.16.1.1

DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.


"Проблема с ACL"
Отправлено apex2009 , 17-Янв-11 11:40 

> DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.

Так вроде DHCP использует порты UDP 67 и 68. Мы разрешили все по UDP. Контроллер на win2008, может в этом проблема?



"Проблема с ACL"
Отправлено aZL , 17-Янв-11 11:48 
permit udp any eq bootpc any eq bootpc?



"Проблема с ACL"
Отправлено Aleks305 , 17-Янв-11 11:54 
> permit udp any eq bootpc any eq bootpc?

именнно any - я же написал broadcast. Читайте про работу dhcp.
Broadcast не пройдет через правило permit ip host host


"Проблема с ACL"
Отправлено apex2009 , 17-Янв-11 13:10 
Всем спасибо за участие! Разобрались, изменили направление ACL и все заработало. На udp прописали any (конечно осталась дыра) но хоть так и на этом хорошо.