forum.opennet.ru - "я чтото непронимаю про ACL" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"я чтото непронимаю про ACL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"я чтото непронимаю про ACL"
Сообщение от Аноним on 09-Дек-07, 18:33
имеем роутер 2821, который смотрит одним интерфейсом в интернет через один из VLAN. Через него надо подключиться к h323 шлюзу на адресе XXX.XXX.XXX.XXX чтобы никто "чужой" не соединялся пишем interface GigabitEthernet0/0 no ip address duplex auto speed auto interface GigabitEthernet0/0.3 description VOIP-INET encapsulation dot1Q 154 ip address YYY.YYY.YYY.YYY 255.255.255.252 ip access-group VOIP in ip access-list extended VOIP permit udp host XXX.XXX.XXX.XXX any permit tcp host XXX.XXX.XXX.XXX any соединение есть, звука нет(udp пакеты не проходят). а если добавить permit udp any any все работает. Непонятно: ACL не пропускает RTP (UDP) пакеты, идуще _точно_ с адреса XXX.XXX.XXX.XXX access-list не пропускает. Или я чтото не так делаю? IOS 12.4(12)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

я чтото непронимаю про ACL, Vaso Petrovich, 21:11 , 09-Дек-07, (1)

я чтото непронимаю про ACL, an, 23:13 , 09-Дек-07, (2)

я чтото непронимаю про ACL, Vaso Petrovich, 23:56 , 09-Дек-07, (3)

я чтото непронимаю про ACL, an, 00:20 , 10-Дек-07, (4)

я чтото непронимаю про ACL, weris, 08:43 , 10-Дек-07, (5)

я чтото непронимаю про ACL, an, 00:21 , 11-Дек-07, (6)

я чтото непронимаю про ACL, an, 18:47 , 11-Дек-07, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "я чтото непронимаю про ACL"

Сообщение от Vaso Petrovich on 09-Дек-07, 21:11

1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную русским переводом), а не детские книжки для детей дошкольного возраста...
2. Не возлагать серьезную работу на затыкалку портов...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "я чтото непронимаю про ACL"

Сообщение от an (??) on 09-Дек-07, 23:13

>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную
>русским переводом), а не детские книжки для детей дошкольного возраста...
все что можно прочитано, и еще больше пощупано. ответа на вопрос - почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской, хотя я ясно вроде сказал CISCO  что делвть - у меня нет. не скрою, образования по CISCO у меня никакого, и прочитал я возможно не все. потому собственно и помощи прошу.
>2. Не возлагать серьезную работу на затыкалку портов...
невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "я чтото непронимаю про ACL"

Сообщение от Vaso Petrovich on 09-Дек-07, 23:56

>>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную
>>русским переводом), а не детские книжки для детей дошкольного возраста...
>
>все что можно прочитано, и еще больше пощупано. ответа на вопрос -
>почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской,
>хотя я ясно вроде сказал CISCO  что делвть - у
>меня нет. не скрою, образования по CISCO у меня никакого, и
>прочитал я возможно не все. потому собственно и помощи прошу.
про кошку я вообще не говорил... в адрессах вы точно уверены? сдается мне что хадшей идет по одному адресу а rtp по другому... в этом и вся трабла
>>2. Не возлагать серьезную работу на затыкалку портов...
>
>невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего
>вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом
>быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле
>:)
вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix, хотя он такой же дерьмовый как и сами циски... а не ломают его потому что его почти нету нигде...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "я чтото непронимаю про ACL"

Сообщение от an (??) on 10-Дек-07, 00:20

>мне что хадшей идет по одному адресу а rtp по другому...
>в этом и вся трабла
надо было так и написать:)
это былобы слишком просто, но дело не в этом.
Другого адеса просто НЕТ. на ADSL-доступе дают только один адрес. как правило.
>
>вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix,
>хотя он такой же дерьмовый как и сами циски... а не
>ломают его потому что его почти нету нигде...
а в чем принцыпиальная разница? Ну понятно, ACL сильно упрощенная версия, но суть то примерно таже. Да, наверное можно его сломать, хотя их столько понатыкано, если это было так просто,давно сломали бы из чиста спортивного интереса. Но для этого надо сначала насканировать, что на этом адресе циска стоит. И неплохобы номер и иос определить. Что по идее непросто, если она не отвечает ни на какие пакеты кроме пакетов с МОЕГО адреса.
вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL. ощущение такое что он берется не из поля источника UDP пакета.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "я чтото непронимаю про ACL"

Сообщение от weris (??) on 10-Дек-07, 08:43

>[оверквотинг удален]
>суть то примерно таже. Да, наверное можно его сломать, хотя их
>столько понатыкано, если это было так просто,давно сломали бы из чиста
>спортивного интереса. Но для этого надо сначала насканировать, что на этом
>адресе циска стоит. И неплохобы номер и иос определить. Что по
>идее непросто, если она не отвечает ни на какие пакеты кроме
>пакетов с МОЕГО адреса.
>
>вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL.
>ощущение такое что он берется не из поля источника UDP пакета.
>
поставь в АКЛ логирование.
и в логе будет видно какой адрес пакеты откидываются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "я чтото непронимаю про ACL"

Сообщение от an (??) on 11-Дек-07, 00:21

>поставь в АКЛ логирование.
>и в логе будет видно какой адрес пакеты откидываются.
спасибо,сам недогадался.  Поставил. И все заработало как надо. То есть если на строчке permit включить логирование - пропусает и останавливает те пакеты, которые надо. Это багофича такая? IOS 12.4(12)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "я чтото непронимаю про ACL"

Сообщение от an (??) on 11-Дек-07, 18:47

> Это багофича такая? IOS 12.4(12)
истинно так. Изучение показало: при соединениях ip2ip через ACL in интерфейса на который приходит RTP проходят зачемто и пакеты уходящего(на другой интерфес!) RTP потока. Причем если дописать "log" в строку permit, все встает на место и работает как надо. Поди догадайся....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "я чтото непронимаю про ACL"
Сообщение от Vaso Petrovich on 09-Дек-07, 21:11
1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную русским переводом), а не детские книжки для детей дошкольного возраста... 2. Не возлагать серьезную работу на затыкалку портов...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "я чтото непронимаю про ACL"
	Сообщение от an (??) on 09-Дек-07, 23:13
	>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную >русским переводом), а не детские книжки для детей дошкольного возраста... все что можно прочитано, и еще больше пощупано. ответа на вопрос - почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской, хотя я ясно вроде сказал CISCO что делвть - у меня нет. не скрою, образования по CISCO у меня никакого, и прочитал я возможно не все. потому собственно и помощи прошу. >2. Не возлагать серьезную работу на затыкалку портов... невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "я чтото непронимаю про ACL"
	Сообщение от Vaso Petrovich on 09-Дек-07, 23:56
	>>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную >>русским переводом), а не детские книжки для детей дошкольного возраста... > >все что можно прочитано, и еще больше пощупано. ответа на вопрос - >почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской, >хотя я ясно вроде сказал CISCO что делвть - у >меня нет. не скрою, образования по CISCO у меня никакого, и >прочитал я возможно не все. потому собственно и помощи прошу. про кошку я вообще не говорил... в адрессах вы точно уверены? сдается мне что хадшей идет по одному адресу а rtp по другому... в этом и вся трабла >>2. Не возлагать серьезную работу на затыкалку портов... > >невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего >вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом >быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле >:) вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix, хотя он такой же дерьмовый как и сами циски... а не ломают его потому что его почти нету нигде...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "я чтото непронимаю про ACL"
	Сообщение от an (??) on 10-Дек-07, 00:20
	>мне что хадшей идет по одному адресу а rtp по другому... >в этом и вся трабла надо было так и написать:) это былобы слишком просто, но дело не в этом. Другого адеса просто НЕТ. на ADSL-доступе дают только один адрес. как правило. > >вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix, >хотя он такой же дерьмовый как и сами циски... а не >ломают его потому что его почти нету нигде... а в чем принцыпиальная разница? Ну понятно, ACL сильно упрощенная версия, но суть то примерно таже. Да, наверное можно его сломать, хотя их столько понатыкано, если это было так просто,давно сломали бы из чиста спортивного интереса. Но для этого надо сначала насканировать, что на этом адресе циска стоит. И неплохобы номер и иос определить. Что по идее непросто, если она не отвечает ни на какие пакеты кроме пакетов с МОЕГО адреса. вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL. ощущение такое что он берется не из поля источника UDP пакета.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "я чтото непронимаю про ACL"
	Сообщение от weris (??) on 10-Дек-07, 08:43
	>[оверквотинг удален] >суть то примерно таже. Да, наверное можно его сломать, хотя их >столько понатыкано, если это было так просто,давно сломали бы из чиста >спортивного интереса. Но для этого надо сначала насканировать, что на этом >адресе циска стоит. И неплохобы номер и иос определить. Что по >идее непросто, если она не отвечает ни на какие пакеты кроме >пакетов с МОЕГО адреса. > >вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL. >ощущение такое что он берется не из поля источника UDP пакета. > поставь в АКЛ логирование. и в логе будет видно какой адрес пакеты откидываются.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "я чтото непронимаю про ACL"
	Сообщение от an (??) on 11-Дек-07, 00:21
	>поставь в АКЛ логирование. >и в логе будет видно какой адрес пакеты откидываются. спасибо,сам недогадался. Поставил. И все заработало как надо. То есть если на строчке permit включить логирование - пропусает и останавливает те пакеты, которые надо. Это багофича такая? IOS 12.4(12)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "я чтото непронимаю про ACL"
	Сообщение от an (??) on 11-Дек-07, 18:47
	> Это багофича такая? IOS 12.4(12) истинно так. Изучение показало: при соединениях ip2ip через ACL in интерфейса на который приходит RTP проходят зачемто и пакеты уходящего(на другой интерфес!) RTP потока. Причем если дописать "log" в строку permit, все встает на место и работает как надо. Поди догадайся....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]