форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ACL на внешнем интерфейсе, как разрешить ответные пакеты"

Сообщение от Илья (??) on 05-Фев-07, 19:02

Офис на 50 человек. Cisco 1721 eth0 как основной шлюз. В Cisco eth1 втыкается dsl модем, на котором поднимается PPPoE сессия. Вопрос. В статьях по безопасности роутеров Cisco пишется, что хорошо ограничивать in пакеты на внещнем интерфейсе. Однако этого добиться у меня никак не получается - любое правило кроме access-list 101 permit icmp any any access-list 101 permit udp any any приводит к блокированию доступа к www, http и т.п. Подозреваю, что дело в NAT, т.е. ответы приходят на случайные порты (т.к. работает NAT). Как открыть только эти порты? Было бы совсем здорово почитать кусок рабочего конфига...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ACL на внешнем интерфейсе, как разрешить ответные пакеты"

Сообщение от ruff (??) on 05-Фев-07, 19:15

>Офис на 50 человек. Cisco 1721 eth0 как основной шлюз. В Cisco >eth1 втыкается dsl модем, на котором поднимается PPPoE сессия. > >Вопрос. В статьях по безопасности роутеров Cisco пишется, что хорошо ограничивать in >пакеты на внещнем интерфейсе. Однако этого добиться у меня никак не >получается - любое правило кроме >access-list 101 permit icmp any any >access-list 101 permit udp any any >приводит к блокированию доступа к www, http и т.п. > >Подозреваю, что дело в NAT, т.е. ответы приходят на случайные порты (т.к. >работает NAT). Как открыть только эти порты? > >Было бы совсем здорово почитать кусок рабочего конфига... можно использовать CBAC ip inspect name gen-ips tcp ip inspect name gen-ips udp ! interface fa1 ip address xx.xx.xx.xx 255.255.255.252 ip access-group fw in ip nat outside ip inspect gen-ips out ip virtual-reassembly ! ip access-list extended fw permit icmp any any ttl-exceeded permit icmp any any echo-reply permit icmp any host xx.xx.xx.xx echo deny   ip any any log

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ACL на внешнем интерфейсе, как разрешить ответные пакеты"
	Сообщение от Hawk (??) on 06-Фев-07, 16:47
	А где в твоем access листе разрешения на http? Кроме icmp у тебя все остальное запрещено. >! >ip access-list extended fw > permit icmp any any ttl-exceeded > permit icmp any any echo-reply > permit icmp any host xx.xx.xx.xx echo > deny   ip any any log
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ACL на внешнем интерфейсе, как разрешить ответные пакеты"
	Сообщение от ruff (??) on 06-Фев-07, 17:45
	>А где в твоем access листе разрешения на http? Кроме icmp у >тебя все остальное запрещено. >>! >>ip access-list extended fw >> permit icmp any any ttl-exceeded >> permit icmp any any echo-reply >> permit icmp any host xx.xx.xx.xx echo >> deny   ip any any log остальное (ответный пакеты) будут динамически разрешаться CBAC-ом. если надо явно разрешить входящие пакеты, не инициированные изнутри - на них явно добавляется строка в акл с секвенсом меньше deny (как например с icmp в примере)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]