URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 3247
[ Назад ]

Исходное сообщение
"Странная проблема с ACL, похожа на глюк"
Отправлено Plugin , 05-Июн-03 10:13

есть ACL на вход:
deny   tcp any any eq 443
deny   udp any any eq 443
permit tcp any pp.pp.pp.pp 0.0.0.15 established
permit tcp any any eq domain
permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
permit tcp any host zz.zz.zz.zz eq smtp
permit ip 10.хх.хх.0 0.0.255.255 10.уу.уу.0 0.0.0.255 (есть VPN, доступ его учасникам к моей сетке)
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
deny   icmp any any
permit tcp any any eq ftp
permit tcp any any eq ftp-data
deny   ip any any
проблема в следующем, не работает ftp при включенном листе на интерфейсе... уже перепробовал все, не выходит каменный цветок. ACL out практически все разрешает, да и отключать его пробовал.

Содержание

Странная проблема с ACL, похожа на глюк,ВОЛКА, 10:33 , 05-Июн-03
- Странная проблема с ACL, похожа на глюк,Plugin, 10:50 , 05-Июн-03
  - Странная проблема с ACL, похожа на глюк,dddima, 11:32 , 05-Июн-03
    - Странная проблема с ACL, похожа на глюк,Plugin, 12:16 , 05-Июн-03
      - Странная проблема с ACL, похожа на глюк,ArmCrack, 17:12 , 05-Июн-03
        
        Странная проблема с ACL, похожа на глюк,Plugin, 08:22 , 06-Июн-03
      - Странная проблема с ACL, похожа на глюк,LS, 03:43 , 06-Июн-03
        
        Странная проблема с ACL, похожа на глюк,Plugin, 09:17 , 06-Июн-03
        
        Странная проблема с ACL, похожа на глюк,LS, 12:44 , 06-Июн-03

Сообщения в этом обсуждении

"Странная проблема с ACL, похожа на глюк"
Отправлено ВОЛКА , 05-Июн-03 10:33

скорее всего вы используете passive ftp....

"Странная проблема с ACL, похожа на глюк"
Отправлено Plugin , 05-Июн-03 10:50

>скорее всего вы используете passive ftp....
и такой и такой пробовал... не работает.
и вообще странные глюки в последнее время, например при выставление параметра log на исходящий ACL, блокируется доступ для ip-адресов динамически выдаваемых NAT-ом, а статические замечательныи образом продолжают работать.

"Странная проблема с ACL, похожа на глюк"
Отправлено dddima , 05-Июн-03 11:32

мой совет поставить сниффер и посмотреть по какие используются протоколы и по каким портам работают (решал подобные проблемы с транзитом почты через прокси)

"Странная проблема с ACL, похожа на глюк"
Отправлено Plugin , 05-Июн-03 12:16

>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>

TCP 20/21 порты, собственно говоря они открыты, что же он хочет...

"Странная проблема с ACL, похожа на глюк"
Отправлено ArmCrack , 05-Июн-03 17:12

>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>
>
>
>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
-------------------------------------------------------------------------
А у меня в Cisco 2610 стоит
access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 100 permit gre any any
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   udp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq ftp-data
access-list 100 deny   tcp any any eq ftp
access-list 100 deny   tcp any any eq ftp-data
access-list 100 deny   tcp any any eq ftp
access-list 100 permit tcp any host 192.168.1.1 eq ftp-data
access-list 100 permit tcp any host 192.168.1.1 eq ftp
access-list 100 permit tcp any host 192.168.1.2 eq ftp-data
access-list 100 permit tcp any host 192.168.1.2 eq ftp
access-list 100 deny   ip any any
и из всех IP адресов FTP порт открыт.
Подскажите, пожалуйста, как можно закрыть FTP порты.
Заранее благодарю.

"Странная проблема с ACL, похожа на глюк"
Отправлено Plugin , 06-Июн-03 08:22

>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>
>>
>>
>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>
>-------------------------------------------------------------------------
>
>А у меня в Cisco 2610 стоит
>
>access-list 100 permit tcp any any
>access-list 100 permit udp any any
>access-list 100 permit icmp any any
>access-list 100 permit gre any any
>access-list 100 deny   tcp any any eq 1433
>access-list 100 deny   udp any any eq 1433
>access-list 100 deny   tcp any any eq 1434
>access-list 100 deny   udp any any eq 1434
>access-list 100 deny   udp any any eq netbios-ns
>access-list 100 deny   udp any any eq netbios-dgm
>access-list 100 deny   udp any any eq netbios-ss
>access-list 100 deny   tcp any any eq 445
>access-list 100 deny   tcp any any eq ftp-data
>access-list 100 deny   tcp any any eq ftp
>access-list 100 deny   tcp any any eq ftp-data
>access-list 100 deny   tcp any any eq ftp
>access-list 100 permit tcp any host 192.168.1.1 eq ftp-data
>access-list 100 permit tcp any host 192.168.1.1 eq ftp
>access-list 100 permit tcp any host 192.168.1.2 eq ftp-data
>access-list 100 permit tcp any host 192.168.1.2 eq ftp
>access-list 100 deny   ip any any
>
>и из всех IP адресов FTP порт открыт.
>Подскажите, пожалуйста, как можно закрыть FTP порты.
>Заранее благодарю.
У тебя вообще все открыто, дальше вот этого куска
access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 100 permit gre any any
у тебя правила не обрабатываются.

"Странная проблема с ACL, похожа на глюк"
Отправлено LS , 06-Июн-03 03:43

>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>
>
>
>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...

http://slacksite.com/other/ftp.html
там все на пальцах об'яснено, если rfc читать не хочется

"Странная проблема с ACL, похожа на глюк"
Отправлено Plugin , 06-Июн-03 09:17

>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>
>>
>>
>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>
>
>http://slacksite.com/other/ftp.html
>
>там все на пальцах об'яснено, если rfc читать не хочется
порты больше 1024 надо разрешать в пассивном режиме, вроде в активном 20/21 вполне достаточно.
К тому же
permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
разрешает все одному из необходимых фтп, а он тоже не работает....

"Странная проблема с ACL, похожа на глюк"
Отправлено LS , 06-Июн-03 12:44

>>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>>
>>>
>>>
>>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>>
>>
>>http://slacksite.com/other/ftp.html
>>
>>там все на пальцах об'яснено, если rfc читать не хочется
>
>порты больше 1024 надо разрешать в пассивном режиме, вроде в активном 20/21
>вполне достаточно.
>
>К тому же
>permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
>разрешает все одному из необходимых фтп, а он тоже не работает....
фтп-серверов или фтп-клиентов? должно быть для нормальной работы твоего ACL

[клиент_из_dd.dd.dd.dd_0.0.0.63] -> [ACL cisco ] -> [ftp_сервер]