URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 510
[ Назад ]

Исходное сообщение
"доступ к портам для определенных ip ACL"

Отправлено sferra01 , 31-Янв-13 17:45 
Подскажите, как открыть доступ к определенным портам для выборочных ip?
Делаю так:
Создаю расширенный acl:

ip access-list extended LIST1 permit tcp any any eq ftp - так работает, но мне не нужно
открывать доступ для всей сети, поэтому делаю так:

ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - не работает.

Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?


Содержание

Сообщения в этом обсуждении
"доступ к портам для определенных ip ACL"
Отправлено Merridius , 31-Янв-13 23:03 
> Подскажите, как открыть доступ к определенным портам для выборочных ip?
> Делаю так:
> Создаю расширенный acl:
> ip access-list extended LIST1 permit tcp any any eq ftp - так
> работает, но мне не нужно
> открывать доступ для всей сети, поэтому делаю так:
> ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp -
> не работает.
> Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?

Вот почитайте для начала хотя бы это:
ACL
http://habrahabr.ru/post/121806/
Wildcard mask
http://habrahabr.ru/post/131712/


"доступ к портам для определенных ip ACL"
Отправлено sferra01 , 01-Фев-13 11:05 
>[оверквотинг удален]
>> работает, но мне не нужно
>> открывать доступ для всей сети, поэтому делаю так:
>> ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp -
>> не работает.
>> Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?
> Вот почитайте для начала хотя бы это:
> ACL
> http://habrahabr.ru/post/121806/
> Wildcard mask
> http://habrahabr.ru/post/131712/

Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя ошибка, статьи эти я читал, но в чем в моем случае косяк я не понял и гугл смотрел но пока не доходит в чем дело, собственно за этим сюда и пришел.


"доступ к портам для определенных ip ACL"
Отправлено fantom , 01-Фев-13 11:22 
>[оверквотинг удален]
>>> Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?
>> Вот почитайте для начала хотя бы это:
>> ACL
>> http://habrahabr.ru/post/121806/
>> Wildcard mask
>> http://habrahabr.ru/post/131712/
> Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя
> ошибка, статьи эти я читал, но в чем в моем случае
> косяк я не понял и гугл смотрел но пока не доходит
> в чем дело, собственно за этим сюда и пришел.

ACL - просто набор правил, его еще надо на нужном интерфейсе в нужное направление повесить, вы показали только какой-то хвост...
Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта....


"доступ к портам для определенных ip ACL"
Отправлено sferra01 , 01-Фев-13 11:30 
>[оверквотинг удален]
>>> http://habrahabr.ru/post/121806/
>>> Wildcard mask
>>> http://habrahabr.ru/post/131712/
>> Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя
>> ошибка, статьи эти я читал, но в чем в моем случае
>> косяк я не понял и гугл смотрел но пока не доходит
>> в чем дело, собственно за этим сюда и пришел.
> ACL - просто набор правил, его еще надо на нужном интерфейсе в
> нужное направление повесить, вы показали только какой-то хвост...
> Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта....

Хорошо, подробнее опишу:
Есть расширенный acl LIST1, который висит на внешнем интерфейсе в режиме out:
ip access-group LIST1 out

Туда пишу только разрешающие правила, сейчас пока так:

ip access-list extended LIST1
permit tcp any any eq domain
permit tcp any any eq www
permit tcp any any eq 443

Собственно вся подсеть ходит наружу только на www и https, если я добавлю правило:
permit tcp any any eq ftp - то вся подсеть ходит на ftp без проблем, но мне надо, чтобы доступ к ftp или вообще для всех портов имели определенные ip из моей подсети, вот это как раз и не получается сделать.
Есть еще правила inspect, которые тоже висят на внешнем интерфейсе в режиме out:
ip inspect name I_OUT dns
ip inspect name I_OUT icmp router-traffic
ip inspect name I_OUT ntp
ip inspect name I_OUT tcp router-traffic
ip inspect name I_OUT udp router-traffic
ip inspect name I_OUT http
ip inspect name I_OUT https
ip inspect name I_OUT ftp

Больше никаких правил запрета/разрешения доступа к портам наружу нет.


"доступ к портам для определенных ip ACL"
Отправлено fantom , 01-Фев-13 11:39 
>[оверквотинг удален]
> out:
> ip inspect name I_OUT dns
> ip inspect name I_OUT icmp router-traffic
> ip inspect name I_OUT ntp
> ip inspect name I_OUT tcp router-traffic
> ip inspect name I_OUT udp router-traffic
> ip inspect name I_OUT http
> ip inspect name I_OUT https
> ip inspect name I_OUT ftp
> Больше никаких правил запрета/разрешения доступа к портам наружу нет.

Вот, уже лучше.
Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно 192.168..... адреса там никогда не появляются.
Ваше правило
permit tcp host 192.168.0.10 any eq ftp
надо вешать на внутреннем интерфейсе и на IN направлении.


"доступ к портам для определенных ip ACL"
Отправлено sferra01 , 01-Фев-13 12:16 
>[оверквотинг удален]
>> ip inspect name I_OUT https
>> ip inspect name I_OUT ftp
>> Больше никаких правил запрета/разрешения доступа к портам наружу нет.
> Вот, уже лучше.
> Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс
> имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно
> 192.168..... адреса там никогда не появляются.
> Ваше правило
> permit tcp host 192.168.0.10 any eq ftp
>  надо вешать на внутреннем интерфейсе и на IN направлении.

Благодарю, проверил - работает, причем работает как на IN направлении так и на OUT.
О NAT я как-то, признаться не подумал...
Правильно ли я понимаю, что если эти правила у меня будут висеть на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла, оно не будет работать?
Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе, а общие правила на внешнем?


"доступ к портам для определенных ip ACL"
Отправлено fantom , 01-Фев-13 12:53 
>[оверквотинг удален]
>> permit tcp host 192.168.0.10 any eq ftp
>>  надо вешать на внутреннем интерфейсе и на IN направлении.
> Благодарю, проверил - работает, причем работает как на IN направлении так и
> на OUT.
> О NAT я как-то, признаться не подумал...
> Правильно ли я понимаю, что если эти правила у меня будут висеть
> на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла,
> оно не будет работать?
> Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе,
> а общие правила на внешнем?

Вы опять изъясняетесь слишком общими фразами.
Все сильно зависит от конфигурации сети (количества внутренних интерфейсов например и желаемого уровня контроля трафика) - я не телепат :).

Вешать правило надо там, где оно будет давать наилучший эффект.
Если желаемый эффект одним правилом или одним ACL-ом не достигается - пишем/вешаем второе и т.д.
Принцип кулинарной книги тут далеко не всегда применим.