forum.opennet.ru - "Динамический ACL…." (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Динамический ACL…."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Динамический ACL…."
Сообщение от sergeyfromkomi (ok) on 26-Июн-08, 18:05
Подскажите пожалуйста !!!!! Как корректно настроить на cisce 28 серии ACL лист на входящий/исходящий трафик ? В обратном направлении (из LAN в WAN)вроде всё ясно: для разрешения только http запросов я разрешаю порт tcp 80 и udp 53 , а всё остальное закрываю (any deny) – так клиент из Lan сможет ходить ТОЛЬКО по http. Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме http ? Проблема в том что при обратном ответе WEB сервера попытается установить обратное соединение с юзером по другому (динамическому) порту (80 порт занят инициализацией первого запроса клиента) а мне надо его разрешит а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. ????? P.S. спасибо за ответ… Если разбогатею то обязательно найду и отблагодарю!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Динамический ACL…., SergTel, 22:05 , 26-Июн-08, (1)
Динамический ACL…., CrAzOiD, 01:22 , 27-Июн-08, (2)
Динамический ACL…., SergTel, 13:01 , 27-Июн-08, (3)

Динамический ACL…., DeeJayBee, 15:33 , 27-Июн-08, (5)
Динамический ACL…., DeeJayBee, 15:46 , 27-Июн-08, (6)

Динамический ACL…., SergTel, 17:21 , 27-Июн-08, (7)

Динамический ACL…., flashdumper, 14:13 , 27-Июн-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Динамический ACL…."

Сообщение от SergTel (ok) on 26-Июн-08, 22:05

>[оверквотинг удален]
>Как написать ACL чтоб  ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
Вначале это:
http://www.ciscolab.ru/2006/09/18/page,2,access_list1.html
потом:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Динамический ACL…."

Сообщение от CrAzOiD (ok) on 27-Июн-08, 01:22

>[оверквотинг удален]
>Как написать ACL чтоб  ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
смотреть в сторону:
1. permit established
2. reflective acl
3. ip inspect - самый правильный вариант

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Динамический ACL…."

Сообщение от SergTel (??) on 27-Июн-08, 13:01

>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента)
Это какой-то очень хитрый вэб
имеющий софт на стороне клиента?
Я всегда считал что динамический порт  открывает сессию и ждет ответ на на этот-же порт.
После окончания сессии порт освобождается. Принимает данные динамический порт с определенного адреса и порта.
Если я ошибаюсь поправте меня.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Динамический ACL…."

Сообщение от DeeJayBee (??) on 27-Июн-08, 15:33

Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Динамический ACL…."

Сообщение от DeeJayBee (??) on 27-Июн-08, 15:46

Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Динамический ACL…."

Сообщение от SergTel (ok) on 27-Июн-08, 17:21

>[оверквотинг удален]
>>на на этот-же порт.
>>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>>и порта.
>
>Надо только проконтролировать что б этот порт был инициализирован  клиентом и
>разрешить проход трафика через него( через порт) от сервера к клиенту.
>А затем закрыть порт чтоб никто и низа что не чё
>плохое в него не с(р)(л)ал.
>
>Это  вроде у  КИСКИ  называется ip inspect……
Динамический порт на хосте закрывается автоматически по окончании сессии или по тайм-ауту
и ip inspect его никак не закроет
назначение инспекта блокировать атаки через и на маршрутизатор

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Динамический ACL…."

Сообщение от flashdumper on 27-Июн-08, 14:13

>[оверквотинг удален]
>Как написать ACL чтоб  ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
это называется CBAC батенька... правильно вам говорят ip inspect в помощь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Динамический ACL…."
Сообщение от SergTel (ok) on 26-Июн-08, 22:05
>[оверквотинг удален] >Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме >http ? Проблема в том что при обратном ответе WEB сервера >попытается установить обратное соединение с юзером по другому (динамическому) порту (80 >порт занят инициализацией первого запроса клиента) а мне надо его разрешит >а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера >и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. >????? > >P.S. спасибо за ответ… >Если разбогатею то обязательно найду и отблагодарю! Вначале это: http://www.ciscolab.ru/2006/09/18/page,2,access_list1.html потом: http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Динамический ACL…."
Сообщение от CrAzOiD (ok) on 27-Июн-08, 01:22
>[оверквотинг удален] >Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме >http ? Проблема в том что при обратном ответе WEB сервера >попытается установить обратное соединение с юзером по другому (динамическому) порту (80 >порт занят инициализацией первого запроса клиента) а мне надо его разрешит >а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера >и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. >????? > >P.S. спасибо за ответ… >Если разбогатею то обязательно найду и отблагодарю! смотреть в сторону: 1. permit established 2. reflective acl 3. ip inspect - самый правильный вариант
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Динамический ACL…."
Сообщение от SergTel (??) on 27-Июн-08, 13:01
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80 >порт занят инициализацией первого запроса клиента) Это какой-то очень хитрый вэб имеющий софт на стороне клиента? Я всегда считал что динамический порт открывает сессию и ждет ответ на на этот-же порт. После окончания сессии порт освобождается. Принимает данные динамический порт с определенного адреса и порта. Если я ошибаюсь поправте меня.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Динамический ACL…."
	Сообщение от DeeJayBee (??) on 27-Июн-08, 15:33
	Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно: >Я всегда считал что динамический порт открывает сессию и ждет ответ >на на этот-же порт. >После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса >и порта. Надо только проконтролировать что б этот порт был инициализирован клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал. Это вроде у КИСКИ называется ip inspect……
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Динамический ACL…."
	Сообщение от DeeJayBee (??) on 27-Июн-08, 15:46
	Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно: >Я всегда считал что динамический порт открывает сессию и ждет ответ >на на этот-же порт. >После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса >и порта. Надо только проконтролировать что б этот порт был инициализирован клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал. Это вроде у КИСКИ называется ip inspect……
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Динамический ACL…."
	Сообщение от SergTel (ok) on 27-Июн-08, 17:21
	>[оверквотинг удален] >>на на этот-же порт. >>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса >>и порта. > >Надо только проконтролировать что б этот порт был инициализирован клиентом и >разрешить проход трафика через него( через порт) от сервера к клиенту. >А затем закрыть порт чтоб никто и низа что не чё >плохое в него не с(р)(л)ал. > >Это вроде у КИСКИ называется ip inspect…… Динамический порт на хосте закрывается автоматически по окончании сессии или по тайм-ауту и ip inspect его никак не закроет назначение инспекта блокировать атаки через и на маршрутизатор
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Динамический ACL…."
Сообщение от flashdumper on 27-Июн-08, 14:13
>[оверквотинг удален] >Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме >http ? Проблема в том что при обратном ответе WEB сервера >попытается установить обратное соединение с юзером по другому (динамическому) порту (80 >порт занят инициализацией первого запроса клиента) а мне надо его разрешит >а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера >и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. >????? > >P.S. спасибо за ответ… >Если разбогатею то обязательно найду и отблагодарю! это называется CBAC батенька... правильно вам говорят ip inspect в помощь
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]