URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 941
[ Назад ]

Исходное сообщение
"Access list -ы в cisco"
Отправлено yazviy , 27-Авг-13 16:40

Уважаемые специалисты подскажите что из этих access листов может мешать банковскому терминалу получающему ip адрес из сети 192.168.1.0 общаться с банком по портам 19000 и 5100 :

ip access-list extended nat
remark SDM_ACL Category=18
deny   ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.255.255
deny   ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 192.168.1.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq 443
permit tcp 192.168.1.0 0.0.0.255 any eq 443

deny   tcp 192.168.1.0 0.0.0.255 any eq smtp
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 2 permit 192.168.1.53
access-list 2 permit 192.168.1.1
access-list 2 permit 192.168.1.171
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 101 permit udp any any eq domain
access-list 101 permit udp any eq domain any
access-list 102 permit ip host 192.168.1.1 any
access-list 102 permit ip host 192.168.1.13 any
access-list 102 permit ip host 192.168.1.77 any
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit

Содержание

Access list -ы в cisco,Merridius, 17:03 , 27-Авг-13
Access list -ы в cisco,crash, 06:35 , 28-Авг-13
- Access list -ы в cisco,yazviy, 13:29 , 28-Авг-13
  - Access list -ы в cisco,Andrey, 14:16 , 28-Авг-13
    - Access list -ы в cisco,yazviy, 14:27 , 28-Авг-13
      - Access list  -ы в cisco,crash, 14:29 , 28-Авг-13
        
        Access list  -ы в cisco,yazviy, 14:44 , 28-Авг-13
        
        Access list  -ы в cisco,crash, 15:35 , 28-Авг-13
        
        Access list  -ы в cisco,yazviy, 16:36 , 28-Авг-13
        
        Access list  -ы в cisco,yazviy, 16:38 , 28-Авг-13
        
        Access list  -ы в cisco,crash, 09:28 , 29-Авг-13
        
        Access list  -ы в cisco,yazviy, 11:49 , 29-Авг-13
        
        Access list  -ы в cisco,Andrey, 13:56 , 29-Авг-13
  - Access list -ы в cisco,crash, 14:26 , 28-Авг-13
    - Access list -ы в cisco,yazviy, 14:28 , 28-Авг-13

Сообщения в этом обсуждении

"Access list -ы в cisco"
Отправлено Merridius , 27-Авг-13 17:03

>[оверквотинг удален]
> access-list 2 permit 192.168.1.0 0.0.0.255
> access-list 2 permit 192.168.10.0 0.0.0.255
> access-list 101 permit udp any any eq domain
> access-list 101 permit udp any eq domain any
> access-list 102 permit ip host 192.168.1.1 any
> access-list 102 permit ip host 192.168.1.13 any
> access-list 102 permit ip host 192.168.1.77 any
> access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255
> access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
> dialer-list 1 protocol ip permit
С таким построением вопроса вам вряд ли ответит кто-нибудь.
Какой метод соединения с сервером?
Куда акл вешаете, в каком направлении?
Протокол tcp? udp?
Короче ничего не понятно.

"Access list -ы в cisco"
Отправлено crash , 28-Авг-13 06:35

как сказали выше как вешаете листы. Или здесь сидят телепаты и все знают, что и как у вас настроено? Так же не ясен адрес банка, если соединение просто через интернет, то как минимум мешает ip access-list extended nat, потому что открыты порты только 80 и 443

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 13:29

соединение c банком просто через интернет, по tcp протоколу используя порты 5100 и 19000
попробовал прописать в нате
Extended IP access list nat
    10 deny ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (18428 matches)
    20 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
    30 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (2476376 matches)
    40 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 (98646 matches)
    50 deny ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.255.255 (2520 matches)
    60 deny ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.255.255
    70 permit tcp 192.168.1.0 0.0.0.255 any eq www (1570246 matches)
    80 permit tcp 192.168.10.0 0.0.0.255 any eq www (992855 matches)
    90 permit tcp 192.168.10.0 0.0.0.255 any eq 443 (182287 matches)
    100 permit tcp 192.168.1.0 0.0.0.255 any eq 443 (141264 matches)
    101 permit udp 192.168.1.0 0.0.0.255 any eq 5100 (3 matches)
    102 permit udp 192.168.1.0 0.0.0.255 any eq 19000 (4 matches)
    103 permit tcp 192.168.1.0 0.0.0.255 any eq 5100 (3 matches)
    104 permit tcp 192.168.1.0 0.0.0.255 any eq 19000 (4 matches)
    110 deny tcp 192.168.1.0 0.0.0.255 any eq smtp (544 matches)
    120 permit ip 192.168.1.0 0.0.0.255 any (293982 matches)
результат тот же...
пробывал вообще вот так :
Extended IP access list nat
    10 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 (4118 matches)
    20 permit ip 192.168.1.0 0.0.0.255 any (3344 matches)
результат тот же...
на интерфейсах висит следующее :
interface FastEthernet0/0
ip address *.*.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
ip address *.*.*.* 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map VPN

"Access list -ы в cisco"
Отправлено Andrey , 28-Авг-13 14:16

> соединение c банком просто через интернет, по tcp протоколу используя порты 5100
> и 19000
Банк работает без IP, просто через интернет? Пропишите правило для ICMP и попробуйте пингом простучать.
>     101 permit udp 192.168.1.0 0.0.0.255 any eq 5100  (3 matches)
>     102 permit udp 192.168.1.0 0.0.0.255 any eq 19000  (4 matches)
>     103 permit tcp 192.168.1.0 0.0.0.255 any eq 5100  (3 matches)
>     104 permit tcp 192.168.1.0 0.0.0.255 any eq 19000  (4 matches)
Каунтеры есть. Т.е. через NAT оно проходит. Кстати, вы говорите что у вас TCP, а каунтеры есть и по UDP. Непонятно...

> interface FastEthernet0/0
>  ip address *.*.1.1 255.255.255.0
>  ip nat inside
> !
> interface FastEthernet0/1
>  ip address *.*.*.* 255.255.255.240
>  ip nat outside
И как уважаемое сообщество должно догадаться через какой интрефейс у вас живет 192.168.1.0/24? Теоретически догадаться можно, но вдруг вы любитель нетрадиционных методов..

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 14:27

> И как уважаемое сообщество должно догадаться через какой интерфейс у вас живет
> 192.168.1.0/24? Теоретически догадаться можно, но вдруг вы любитель нетрадиционных методов..
> interface FastEthernet0/0
>  ip address 192.168.1.1 255.255.255.0
>  ip nat inside
> !
> interface FastEthernet0/1
>  ip address *.*.*.* 255.255.255.240
>  ip nat outside
извиняюсь думал будет понятно :)
по поводу работы по TCP информация от банка но пока мучался на всякий случай решил и UDP прописать...
терминалы должны ломится на конкретный ip банка что самое интересное и этот ip адрес доступен из сети и порты тоже , пробывал telnet-ом . Закралась мысль что что то не так с терминалом , взял домой воткнул в роутер - связь есть!

"Access list -ы в cisco"
Отправлено crash , 28-Авг-13 14:29

> по поводу работы по TCP информация от банка но пока мучался на
> всякий случай решил и UDP прописать...
> терминалы должны ломится на конкретный ip банка что самое интересное и этот
> ip адрес доступен из сети и порты тоже , пробывал telnet-ом
> . Закралась мысль что что то не так с терминалом ,
> взял домой воткнул в роутер - связь есть!
поставьте вместо терминала ноутбук и попробуйте прителнетиться.
Или покажите уже конфиг весь, а не частями выплевывайте

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 14:44

> поставьте вместо терминала ноутбук и попробуйте прителнетиться.
Как раз так и пробывал всё выходил с бука..
>  Или покажите уже конфиг весь, а не частями выплевывайте
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 *
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
ip cef
!
!
!
!
ip flow-cache timeout active 1
ip domain name
ip name-server 8.8.8.8
ip name-server 8.8.4.4
!
!
voice-card 0
!
!
!

username * privilege 15 secret 5
!
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key SPIR-SHEREM address *.*.*.*
!
!
crypto ipsec transform-set HEAD-ESP-3DES-MD5 esp-3des esp-md5-hmac
mode transport
crypto ipsec nat-transparency spi-matching
!
crypto map VPN 1 ipsec-isakmp
set peer *.*.*.*
set transform-set HEAD-ESP-3DES-MD5
set pfs group2
match address 110
!
!
!
!
!
interface Tunnel0
ip address *.*.*.* 255.255.255.252
ip tcp adjust-mss 1436
shutdown
tunnel source FastEthernet0/1
tunnel destination *.*.*.*
!
interface Tunnel2
ip address *.*.*.* 255.255.255.252
ip tcp adjust-mss 1436
tunnel source FastEthernet0/1
tunnel destination *.*.*.*
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description $ETH-LAN$
ip address *.*.*.* 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 *.*.*.*
ip route 192.168.1.0 255.255.255.0 10.10.1.2
ip route 192.168.3.0 255.255.255.0 Tunnel2
ip route 192.168.10.0 255.255.255.0 10.10.1.2
!
ip dns server
ip flow-export source FastEthernet0/0
ip flow-export version 5
!
ip http server
no ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
!
ip access-list extended nat
remark SDM_ACL Category=18
deny   ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
deny   ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.255.255
deny   ip 10.10.0.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 192.168.1.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq 443
permit tcp 192.168.1.0 0.0.0.255 any eq 443
permit udp 192.168.1.0 0.0.0.255 any eq 5100
permit udp 192.168.1.0 0.0.0.255 any eq 19000
permit tcp 192.168.1.0 0.0.0.255 any eq 5100
permit tcp 192.168.1.0 0.0.0.255 any eq 19000
deny   tcp 192.168.1.0 0.0.0.255 any eq smtp
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 2 permit 192.168.1.53
access-list 2 permit 192.168.1.1
access-list 2 permit 192.168.1.171
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 101 permit udp any any eq domain
access-list 101 permit udp any eq domain any
access-list 102 permit ip host 192.168.1.1 any
access-list 102 permit ip host 192.168.1.13 any
access-list 102 permit ip host 192.168.1.77 any
access-list 110 permit ip 10.10.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address nat
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password
login
transport input telnet ssh
transport output telnet ssh
!
scheduler allocate 20000 1000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

"Access list -ы в cisco"
Отправлено crash , 28-Авг-13 15:35

>ip route 192.168.1.0 255.255.255.0 10.10.1.2
а на 10.10.1.2 это у вас что за железка и что настроено на ней?

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 16:36

>>ip route 192.168.1.0 255.255.255.0 10.10.1.2
> а на 10.10.1.2 это у вас что за железка и что
> настроено на ней?

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 16:38

>>>ip route 192.168.1.0 255.255.255.0 10.10.1.2
>>  а на 10.10.1.2 это у вас что за железка и что
>> настроено на ней?
10.10.1.2 это коммутатор цисковский по сути там интересное из настроек только :
ip route 0.0.0.0 0.0.0.0 10.10.1.1
и
Extended IP access list 100
    10 permit gre any any
    20 deny ip any any
Extended IP access list block
    10 deny ip host 192.168.10.175 any
    20 permit ip any any
Extended MAC access list ARP_Kill
    permit host c86c.8700.31cb any
    permit host c86c.8700.31fd any
    permit host 0080.1628.335e any
всё остальное никакого отношения к данной проблеме иметь не может...

"Access list -ы в cisco"
Отправлено crash , 29-Авг-13 09:28

и куда 100 лист привязывается?

"Access list -ы в cisco"
Отправлено yazviy , 29-Авг-13 11:49

> и куда 100 лист привязывается?
посмотрел , вроде бы никуда.

"Access list -ы в cisco"
Отправлено Andrey , 29-Авг-13 13:56

> терминалы должны ломится на конкретный ip банка
На какой?
>> и куда 100 лист привязывается?
> посмотрел , вроде бы никуда.
Думаю что стоит закрыть тему.
Уважаемый yazviy, что такого есть в ваших конфигах, что их нужно из вас выдавливать?
Если не понимаете как оно работает - пригласите специалиста, оплатите необходимые работы. Если хотите получить помощь на форуме - перестаньте скрывать данные которые необходимы для диагностики.
При включении в локалку терминал IP получает? Какой?
Покажите конфиг свитча. На какой порт свитча вешается терминал?
Попробуйте убрать ip virtual-reassembly с интерфейсов маршрутизатора. Попробуйте убрать крипто-мап с внешнего интерфеса маршрутизатора. Сделайте конфигурации интерфейсов минимальными.

"Access list -ы в cisco"
Отправлено crash , 28-Авг-13 14:26

> interface FastEthernet0/1
>  ip address *.*.*.* 255.255.255.240
>  ip nat outside
>  ip virtual-reassembly
>  duplex auto
>  speed 100
>  crypto map VPN
уверены, что не в vpn туннеле соединение должно быть?

"Access list -ы в cisco"
Отправлено yazviy , 28-Авг-13 14:28

>> interface FastEthernet0/1
>>  ip address *.*.*.* 255.255.255.240
>>  ip nat outside
>>  ip virtual-reassembly
>>  duplex auto
>>  speed 100
>>  crypto map VPN
> уверены, что не в vpn туннеле соединение должно быть?
уверен!