форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Не работает access-list для UDP"
Сообщение от Rus777 on 05-Фев-03, 17:00  (MSK)
Не работает access-list для UDP. Т.е. UDP порты снаружи остаються открытыми. Правила для TCP работают нормально. В чем может быть причина? Привожу кусок конфига. ----------------------------------------------------------------------- ! interface Serial0/0 ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ip access-group 101 in no ip mroute-cache no fair-queue ! ip classless ip route 0.0.0.0 0.0.0.0 Serial0/0 no ip http server ! access-list 101 deny   tcp any any range 1 1024 access-list 101 deny   udp any any range 1 1024 access-list 101 deny   tcp any any eq 1080 access-list 101 deny   udp any any eq 1434 access-list 101 permit ip any any
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Вам батенька в конфу по цискам нужно... а по делу..."
Сообщение от vmak on 05-Фев-03, 17:42  (MSK)
>Не работает access-list для UDP. Т.е. UDP порты снаружи остаються открытыми. Правила >для TCP работают нормально. В чем может быть причина? Привожу кусок >конфига. >----------------------------------------------------------------------- >! >interface Serial0/0 > ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx > ip access-group 101 in > no ip mroute-cache > no fair-queue >! >ip classless >ip route 0.0.0.0 0.0.0.0 Serial0/0 >no ip http server >! >access-list 101 deny   tcp any any range 1 1024 >access-list 101 deny   udp any any range 1 1024 >access-list 101 deny   tcp any any eq 1080 >access-list 101 deny   udp any any eq 1434 >access-list 101 permit ip any any ЭТО НЕ ЕСТЬ ПРАВИЛЬНЫЙ ФИЛЬТР НА ВХОДЕ!!! Сначала нужно открыть все нужное, а потом закрыть все остальное (неявная команда deny ip any any): access-list 101 permit tcp... И вообще - лучше ставить 2 фильтра (на IN и на OUT). Проверено жизнью...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Вам батенька в конфу по цискам нужно... а по делу..."
	Сообщение от LinaS on 05-Фев-03, 17:54  (MSK)
	>>Не работает access-list для UDP. Т.е. UDP порты снаружи остаються открытыми. Правила >>для TCP работают нормально. В чем может быть причина? Привожу кусок >>конфига. >>----------------------------------------------------------------------- >>! >>interface Serial0/0 >> ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx >> ip access-group 101 in >> no ip mroute-cache >> no fair-queue >>! >>ip classless >>ip route 0.0.0.0 0.0.0.0 Serial0/0 >>no ip http server >>! >>access-list 101 deny   tcp any any range 1 1024 >>access-list 101 deny   udp any any range 1 1024 >>access-list 101 deny   tcp any any eq 1080 >>access-list 101 deny   udp any any eq 1434 >>access-list 101 permit ip any any > > странно, нормальные правила вроде, у меня аланогичные работают... а ты уверен, что именно те порты открыты? sh access-lists 101 что показывает? >ЭТО НЕ ЕСТЬ ПРАВИЛЬНЫЙ ФИЛЬТР НА ВХОДЕ!!! Сначала нужно открыть все нужное, >а потом закрыть все остальное (неявная команда deny ip any any): > Ну вообще то есть два подхода - разрешить все, что не запрещено (как здесь) или разрешить что надо и запретить все остальное (как ты предлагаешь). Правильно или неправильно - это уже в зависимости от реализации... >access-list 101 permit tcp... >И вообще - лучше ставить 2 фильтра (на IN и на OUT). >Проверено жизнью... может и лучше, но вопрос то не об этом был...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.