форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Cisco ftp ftp-data"		+/–
Сообщение от ruslannnn (ok) on 15-Сен-09, 15:16
Привет всем. Может я повторяюсь но я ненашол такой темы. Мне нужно в офис дать доступ к фтп. я пишу permit tcp any host 94.27.11.11 eq ftp permit tcp any host 94.27.11.11 eq ftp-data на фтп не заходит, а логах пишет 14:04:47 *Sep 15 11:00:27.278: %SEC-6-IPACCESSLOGP: list LAN20-in denied tcp 192.168.130.5(4543) -> 94.27.11.11(4862), 1 packet Чегото чтото ещё надо дописать, подскажите что знает что. Спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ftp ftp-data"		+/–
Сообщение от fantom (??) on 15-Сен-09, 15:53
>[оверквотинг удален] >Мне нужно в офис дать доступ к фтп. >я пишу >permit tcp any host 94.27.11.11 eq ftp >permit tcp any host 94.27.11.11 eq ftp-data > >на фтп не заходит, а логах пишет >14:04:47 *Sep 15 11:00:27.278: %SEC-6-IPACCESSLOGP: list LAN20-in denied tcp 192.168.130.5(4543) -> 94.27.11.11(4862), 1 packet > >Чегото чтото ещё надо дописать, подскажите что знает что. >Спасибо. 192.168.130.5(4543) -> 94.27.11.11(4862) !!! Попробуй ftp в пассивном режиме.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco ftp ftp-data"		+/–
	Сообщение от ruslannnn (ok) on 15-Сен-09, 15:58
	>[оверквотинг удален] >>permit tcp any host 94.27.11.11 eq ftp-data >> >>на фтп не заходит, а логах пишет >>14:04:47 *Sep 15 11:00:27.278: %SEC-6-IPACCESSLOGP: list LAN20-in denied tcp 192.168.130.5(4543) -> 94.27.11.11(4862), 1 packet >> >>Чегото чтото ещё надо дописать, подскажите что знает что. >>Спасибо. > >192.168.130.5(4543) -> 94.27.11.11(4862) !!! >Попробуй ftp в пассивном режиме. FTP не мой, фтп биржи ) и я немогу ими командывать в каком режими им настраивать их фтп ) мне надо сделать что бы работники нашего офиса туда могли ходить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco ftp ftp-data"		+/–
	Сообщение от fantom (??) on 15-Сен-09, 16:01
	>[оверквотинг удален] >>> >>>Чегото чтото ещё надо дописать, подскажите что знает что. >>>Спасибо. >> >>192.168.130.5(4543) -> 94.27.11.11(4862) !!! >>Попробуй ftp в пассивном режиме. > > FTP не мой, фтп биржи ) и я немогу ими командывать >в каком режими им настраивать их фтп ) >мне надо сделать что бы работники нашего офиса туда могли ходить. Попробуй клиентом в пассивном режиме законнектиться, сервер его итак скорее всего поддерживает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco ftp ftp-data"		+/–
	Сообщение от fantom (??) on 15-Сен-09, 16:02
	Читать, чем отличается актив ftp от пассива.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco ftp ftp-data"		+/–
	Сообщение от ruslannnn (ok) on 15-Сен-09, 16:13
	непоню где ставить но счас буду искать, но если пишу permit ip any host 94.27.11.11 все работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Cisco ftp ftp-data"		+/–
	Сообщение от ruslannnn (ok) on 15-Сен-09, 16:15
	нашол у меня в експлорере и стоит пасивный режим.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Cisco ftp ftp-data"		+/–
	Сообщение от fantom (??) on 15-Сен-09, 16:28
	>непоню где ставить но счас буду искать, но если пишу permit ip >any host 94.27.11.11 все работает. Если прочитаете как работает ftp - поймете почему.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco ftp ftp-data"		+/–
Сообщение от ruslannnn (ok) on 15-Сен-09, 18:05
Есть у когото ещё идеи ка кэто сделать? какуюто мелуч упускаю но непонятно какую(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 15-Сен-09, 18:18
	>Есть у когото ещё идеи ка кэто сделать? какуюто мелуч упускаю но >непонятно какую( Использовать CBAC и прикрутить ip inspect NAME ftp
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Cisco ftp ftp-data"		+/–
	Сообщение от ruslannnn (ok) on 15-Сен-09, 18:23
	>>Есть у когото ещё идеи ка кэто сделать? какуюто мелуч упускаю но >>непонятно какую( > >Использовать CBAC и прикрутить ip inspect NAME ftp и как это в жинь воплатить неподскажеш?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 15-Сен-09, 21:04
	>>>Есть у когото ещё идеи ка кэто сделать? какуюто мелуч упускаю но >>>непонятно какую( >> >>Использовать CBAC и прикрутить ip inspect NAME ftp > >и как это в жинь воплатить неподскажеш? int Fa0/0 descr Internet ip addr 1.1.1.1 255.255.255.252 ip nat outside ip access-list firewall in ip inspect Inspect_1 ! int fa0/1 descr Local_Lan ip addr 10.0.0.1 255.255.255.0 ip nat inside ! ip access-list extended firewall deny ip any any ! ip access-list extended nat-list permit ip 10.0.0.0 0.0.0.255 any ! ip nat inside source static list nat-list int fa0/0 over ! ip instect name Inspect_1 tcp ip instect name Inspect_1 udp ip instect name Inspect_1 icmp ip instect name Inspect_1 smtp ip instect name Inspect_1 ftp .... Как-то так. Не смотря на то что на входе висит явное запрещение на весь входящий трафик CBAC "приоткроет дверцу" для возвратного трафика. Инспектирование ftp позволит коректно отслеживать сессии ftp. Только есть ограничение. Инспектирование "сложных" протоколов, типа ftp работает только при условии использоваия стандартных портов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Cisco ftp ftp-data"		+/–
	Сообщение от ruslannnn (ok) on 16-Сен-09, 10:40
	>[оверквотинг удален] >ip instect name Inspect_1 smtp >ip instect name Inspect_1 ftp >.... > >Как-то так. >Не смотря на то что на входе висит явное запрещение на весь >входящий трафик CBAC "приоткроет дверцу" для возвратного трафика. >Инспектирование ftp позволит коректно отслеживать сессии ftp. >Только есть ограничение. Инспектирование "сложных" протоколов, типа ftp работает только при условии >использоваия стандартных портов. У меня есть такое ip inspect name FW ftp ip inspect name FW https ip inspect name FW udp ip inspect name FW tcp и тд Только непрописано ни в одном интерфейсе, надо прописать? или не обизательно ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 16-Сен-09, 15:26
	>[оверквотинг удален] >>Только есть ограничение. Инспектирование "сложных" протоколов, типа ftp работает только при условии >>использоваия стандартных портов. > >У меня есть такое >ip inspect name FW ftp >ip inspect name FW https >ip inspect name FW udp >ip inspect name FW tcp >и тд >Только непрописано ни в одном интерфейсе, надо прописать? или не обизательно ? На внешний интерфейс. int fa0/0 ip inspect FW out
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco ftp ftp-data"		+/–
Сообщение от Николай (??) on 17-Сен-09, 21:51
>[оверквотинг удален] >Мне нужно в офис дать доступ к фтп. >я пишу >permit tcp any host 94.27.11.11 eq ftp >permit tcp any host 94.27.11.11 eq ftp-data > >на фтп не заходит, а логах пишет >14:04:47 *Sep 15 11:00:27.278: %SEC-6-IPACCESSLOGP: list LAN20-in denied tcp 192.168.130.5(4543) -> 94.27.11.11(4862), 1 packet > >Чегото чтото ещё надо дописать, подскажите что знает что. >Спасибо. В общем есть одна идея по данному поводу. Точнее две. Вместо использования Context-based access control (CBAC), можно воспользоватся Established (Reflexive) ACL. Синтаксис простой Extended IP access list FILTER_FTP     10 permit tcp any host 94.27.11.11 eq ftp established     20 permit tcp any host 94.27.11.11 eq ftp-data established В теории должно сработать, на практике - проверить негде:) Если же - нет, а применять CBAC все равно не охота можно выбрать меньшее из зол и установить Reflexive Acl по хостам. По крайней мере открыты будут только те порты которые нужны для коннекта, и только на время сесии. Extended IP access list FILTER_FTP     10 permit tcp any host 94.27.11.11 established     20 permit tcp any host 94.27.11.11 established З.Ы. Если не сработает звони. Еще подумаю:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 17-Сен-09, 22:26
	>    20 permit tcp any host 94.27.11.11 eq ftp-data >established А это чего такое? Откуда куда устанавлвается соедиение? А ACL куда применяется? >В теории должно сработать, на практике - проверить негде:) неа, не стаботает. Либо открывать TCP:20 -> TCP:[RANGE] где RANGE тот диапазон портов на которых может быть подключение ftp-data от клиента (на некоторых серверах этот диапазон можно явно задать).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Cisco ftp ftp-data"		+/–
	Сообщение от Николай (??) on 17-Сен-09, 22:50
	>>    20 permit tcp any host 94.27.11.11 eq ftp-data >>established > >А это чего такое? Откуда куда устанавлвается соедиение? А ACL куда применяется? > > >>В теории должно сработать, на практике - проверить негде:) > >неа, не стаботает. >Либо открывать TCP:20 -> TCP:[RANGE] где RANGE тот диапазон портов на которых может быть подключение ftp-data от клиента (на некоторых серверах этот диапазон можно явно задать). :) в общем если не знаете что это такое, почитайте учебник CCNA.ICND2.Official.Exam.Certification.Guide.(CCNA.Exams.640-816.and.640-802),2nd.Edition страница 262. Там написано что это такое. В кратце (если знаете что такое тройное рукопожатие в TCP протоколе), роутер смотрит на это самое соиденение сессию, и мол говорит "Ага этот пакет идет на такой-то удаленый и локальный порты, и от такого-то хоста на такие то локальные удаленные порты. Отлично все остальные гулять." Лист применять на вход. В общем это ответ Руслану, у него он там так и стоит(мы это сегодня обсудили). Второй вариант точно сработает - так как я описал - порты будут открыты только на время соиденения (сессии) и только по запросу исходящего (локального) хоста. Первый не где опробывать, посему и написал что в теории.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 18-Сен-09, 00:43
	>[оверквотинг удален] >В кратце (если знаете что такое тройное рукопожатие в TCP протоколе), роутер >смотрит на это самое соиденение сессию, и мол говорит "Ага этот >пакет идет на такой-то удаленый и локальный порты, и от такого-то >хоста на такие то локальные удаленные порты. Отлично все остальные гулять." > >Лист применять на вход. В общем это ответ Руслану, у него он >там так и стоит(мы это сегодня обсудили). Второй вариант точно сработает >- так как я описал - порты будут открыты только на >время соиденения (сессии) и только по запросу исходящего (локального) хоста. Первый >не где опробывать, посему и написал что в теории. Ага. Прежде чем что-то подобное советовать, почитайте сами про протокол FTP и потом еще раз очень внимательно посмотрите что вы предлагаете. TCP:20 соединение устанавливается в направление от сервера к клиенту. И подчеркнутый мной выше established ну никак не относится к этой ситуации. Нет правила - нет соединения.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Cisco ftp ftp-data"		+/–
	Сообщение от Николай (??) on 18-Сен-09, 03:03
	>[оверквотинг удален] >>там так и стоит(мы это сегодня обсудили). Второй вариант точно сработает >>- так как я описал - порты будут открыты только на >>время соиденения (сессии) и только по запросу исходящего (локального) хоста. Первый >>не где опробывать, посему и написал что в теории. > >Ага. Прежде чем что-то подобное советовать, почитайте сами про протокол FTP и >потом еще раз очень внимательно посмотрите что вы предлагаете. >TCP:20 соединение устанавливается в направление от сервера к клиенту. И подчеркнутый мной >выше established ну никак не относится к этой ситуации. Нет правила >- нет соединения. Почитал, да действительно то что я предлагаю не подойдет, так как расчет был на действие одной сессии. Судя по примеру активного соиденения: FTP server's port 21 from anywhere (Client initiates connection) FTP server's port 21 to ports > 1023 (Server responds to client's control port) FTP server's port 20 to ports > 1023 (Server initiates data connection to client's data port) FTP server's port 20 from ports > 1023 (Client sends ACKs to server's data port) В результате Active FTP :      command : client >1023 -> server 21      data    : client >1023 <- server 20 где 1023 рандомные порты. Для выхода, можно (зная айпишник фтп сервера) настроить коннект,established с двумя листами. один на выход на 21 другой на вход от 20го порта. Но возникает серьезная проблема, так как данный фтпшник с 20ым портом должен будет иметь доступ внутрь сети, хоть и на время сессии. Выши варианты куда лучше. Либо диапаззон портов, либо пассивный клиент (при условии открытых портов на сервере)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Cisco ftp ftp-data"		+/–
	Сообщение от CrAzOiD (ok) on 18-Сен-09, 10:42
	>[оверквотинг удален] >     command : client >1023 -> server 21 >     data    : client >1023 <- server 20 >где 1023 рандомные порты. >Для выхода, можно (зная айпишник фтп сервера) настроить коннект,established с двумя листами. >один на выход на 21 другой на вход от 20го порта. >Но возникает серьезная проблема, так как данный фтпшник с 20ым портом >должен будет иметь доступ внутрь сети, хоть и на время сессии. > >Выши варианты куда лучше. Либо диапаззон портов, либо пассивный клиент (при условии >открытых портов на сервере) Либо, самое правильное, CBAC (ip inspect)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Cisco ftp ftp-data"		+/–
	Сообщение от Николай (??) on 17-Сен-09, 23:51
	>>    20 permit tcp any host 94.27.11.11 eq ftp-data >>established > >А это чего такое? Откуда куда устанавлвается соедиение? А ACL куда применяется? > > >>В теории должно сработать, на практике - проверить негде:) > >неа, не стаботает. >Либо открывать TCP:20 -> TCP:[RANGE] где RANGE тот диапазон портов на которых может быть подключение ftp-data от клиента (на некоторых серверах этот диапазон можно явно задать). Да к стате никто не спорит что и через CBAC все будет работать, и Ваше предложение через диапазон портов, тоже неплохой вариант. Я просто думаю как поступить проще. З.Ы.Все выше сказанное всего лишь мое личное мнение.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Cisco ftp ftp-data"		+/–
	Сообщение от Alex (??) on 27-Окт-09, 22:33
	Ребята, А почему-бы не сделать проще и указать какой именно ACL должен пропускать этот трафик: access-list LAN20-in permit tcp any host 94.27.11.11 eq ftp access-list LAN20-in permit tcp any host 94.27.11.11 eq ftp-data А потом проверить логи снова.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема