OpenForum RSS: доступ к портам для определенных ip ACL https://www.opennet.ru/openforum/vsluhforumID6/510.html Подскажите, как открыть доступ к определенным портам для выборочных ip?<br>Делаю так:<br>Создаю расширенный acl:<br><br>ip access-list extended LIST1 permit tcp any any eq ftp - так работает, но мне не нужно <br>открывать доступ для всей сети, поэтому делаю так:<br><br>ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - не работает.<br><br>Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?<br><br> доступ к портам для определенных ip ACL (fantom) https://www.opennet.ru/openforum/vsluhforumID6/510.html#7 Fri, 01 Feb 2013 08:53:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; permit tcp host 192.168.0.10 any eq ftp <br>&gt;&gt; надо вешать на внутреннем интерфейсе и на IN направлении.<br>&gt; Благодарю, проверил - работает, причем работает как на IN направлении так и <br>&gt; на OUT.<br>&gt; О NAT я как-то, признаться не подумал...<br>&gt; Правильно ли я понимаю, что если эти правила у меня будут висеть <br>&gt; на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла, <br>&gt; оно не будет работать?<br>&gt; Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе, <br>&gt; а общие правила на внешнем?<br><br>Вы опять изъясняетесь слишком общими фразами.<br>Все сильно зависит от конфигурации сети (количества внутренних интерфейсов например и желаемого уровня контроля трафика) - я не телепат :).<br><br>Вешать правило надо там, где оно будет давать наилучший эффект.<br>Если желаемый эффект одним правилом или одним ACL-ом не достигается - пишем/вешаем второе и т.д.<br>Принцип кулинарной книги тут далеко не всегда применим.<br> доступ к портам для определенных ip ACL (sferra01) https://www.opennet.ru/openforum/vsluhforumID6/510.html#6 Fri, 01 Feb 2013 08:16:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip inspect name I_OUT https <br>&gt;&gt; ip inspect name I_OUT ftp <br>&gt;&gt; Больше никаких правил запрета/разрешения доступа к портам наружу нет.<br>&gt; Вот, уже лучше.<br>&gt; Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс <br>&gt; имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно <br>&gt; 192.168..... адреса там никогда не появляются.<br>&gt; Ваше правило <br>&gt; permit tcp host 192.168.0.10 any eq ftp <br>&gt; надо вешать на внутреннем интерфейсе и на IN направлении.<br><br>Благодарю, проверил - работает, причем работает как на IN направлении так и на OUT.<br>О NAT я как-то, признаться не подумал...<br>Правильно ли я понимаю, что если эти правила у меня будут висеть на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла, оно не будет работать?<br>Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе, а общие правила на внешнем?<br> доступ к портам для определенных ip ACL (fantom) https://www.opennet.ru/openforum/vsluhforumID6/510.html#5 Fri, 01 Feb 2013 07:39:33 GMT &gt;[оверквотинг удален]<br>&gt; out: <br>&gt; ip inspect name I_OUT dns <br>&gt; ip inspect name I_OUT icmp router-traffic <br>&gt; ip inspect name I_OUT ntp <br>&gt; ip inspect name I_OUT tcp router-traffic <br>&gt; ip inspect name I_OUT udp router-traffic <br>&gt; ip inspect name I_OUT http <br>&gt; ip inspect name I_OUT https <br>&gt; ip inspect name I_OUT ftp <br>&gt; Больше никаких правил запрета/разрешения доступа к портам наружу нет.<br><br>Вот, уже лучше.<br>Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно 192.168..... адреса там никогда не появляются.<br>Ваше правило<br>permit tcp host 192.168.0.10 any eq ftp<br> надо вешать на внутреннем интерфейсе и на IN направлении.<br><br> доступ к портам для определенных ip ACL (sferra01) https://www.opennet.ru/openforum/vsluhforumID6/510.html#4 Fri, 01 Feb 2013 07:30:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; http://habrahabr.ru/post/121806/ <br>&gt;&gt;&gt; Wildcard mask <br>&gt;&gt;&gt; http://habrahabr.ru/post/131712/ <br>&gt;&gt; Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя <br>&gt;&gt; ошибка, статьи эти я читал, но в чем в моем случае <br>&gt;&gt; косяк я не понял и гугл смотрел но пока не доходит <br>&gt;&gt; в чем дело, собственно за этим сюда и пришел.<br>&gt; ACL - просто набор правил, его еще надо на нужном интерфейсе в <br>&gt; нужное направление повесить, вы показали только какой-то хвост...<br>&gt; Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта.... <br><br>Хорошо, подробнее опишу:<br>Есть расширенный acl LIST1, который висит на внешнем интерфейсе в режиме out:<br>ip access-group LIST1 out<br><br>Туда пишу только разрешающие правила, сейчас пока так:<br><br>ip access-list extended LIST1<br> permit tcp any any eq domain<br> permit tcp any any eq www<br> permit tcp any any eq 443<br><br>Собственно вся подсеть ходит наружу только на www и https, если я добавлю правило:<br>permit tcp any any eq ftp - то вся подсеть ходит на ftp без доступ к портам для определенных ip ACL (fantom) https://www.opennet.ru/openforum/vsluhforumID6/510.html#3 Fri, 01 Feb 2013 07:22:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?<br>&gt;&gt; Вот почитайте для начала хотя бы это: <br>&gt;&gt; ACL <br>&gt;&gt; http://habrahabr.ru/post/121806/ <br>&gt;&gt; Wildcard mask <br>&gt;&gt; http://habrahabr.ru/post/131712/ <br>&gt; Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя <br>&gt; ошибка, статьи эти я читал, но в чем в моем случае <br>&gt; косяк я не понял и гугл смотрел но пока не доходит <br>&gt; в чем дело, собственно за этим сюда и пришел.<br><br>ACL - просто набор правил, его еще надо на нужном интерфейсе в нужное направление повесить, вы показали только какой-то хвост...<br>Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта....<br> доступ к портам для определенных ip ACL (sferra01) https://www.opennet.ru/openforum/vsluhforumID6/510.html#2 Fri, 01 Feb 2013 07:05:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; работает, но мне не нужно <br>&gt;&gt; открывать доступ для всей сети, поэтому делаю так: <br>&gt;&gt; ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - <br>&gt;&gt; не работает.<br>&gt;&gt; Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?<br>&gt; Вот почитайте для начала хотя бы это: <br>&gt; ACL <br>&gt; http://habrahabr.ru/post/121806/ <br>&gt; Wildcard mask <br>&gt; http://habrahabr.ru/post/131712/ <br><br>Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя ошибка, статьи эти я читал, но в чем в моем случае косяк я не понял и гугл смотрел но пока не доходит в чем дело, собственно за этим сюда и пришел.<br> доступ к портам для определенных ip ACL (Merridius) https://www.opennet.ru/openforum/vsluhforumID6/510.html#1 Thu, 31 Jan 2013 19:03:50 GMT &gt; Подскажите, как открыть доступ к определенным портам для выборочных ip?<br>&gt; Делаю так: <br>&gt; Создаю расширенный acl: <br>&gt; ip access-list extended LIST1 permit tcp any any eq ftp - так <br>&gt; работает, но мне не нужно <br>&gt; открывать доступ для всей сети, поэтому делаю так: <br>&gt; ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - <br>&gt; не работает.<br>&gt; Подскажите, что не так? Как разрешить доступ к портам для выборочных ip? <br><br>Вот почитайте для начала хотя бы это:<br>ACL <br>http://habrahabr.ru/post/121806/<br>Wildcard mask<br>http://habrahabr.ru/post/131712/<br><br>