форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"доступ к портам для определенных ip ACL"	+/–
Сообщение от sferra01 (ok) on 31-Янв-13, 17:45
Подскажите, как открыть доступ к определенным портам для выборочных ip? Делаю так: Создаю расширенный acl: ip access-list extended LIST1 permit tcp any any eq ftp - так работает, но мне не нужно открывать доступ для всей сети, поэтому делаю так: ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - не работает. Подскажите, что не так? Как разрешить доступ к портам для выборочных ip?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "доступ к портам для определенных ip ACL"	+/–
Сообщение от Merridius (ok) on 31-Янв-13, 23:03
> Подскажите, как открыть доступ к определенным портам для выборочных ip? > Делаю так: > Создаю расширенный acl: > ip access-list extended LIST1 permit tcp any any eq ftp - так > работает, но мне не нужно > открывать доступ для всей сети, поэтому делаю так: > ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - > не работает. > Подскажите, что не так? Как разрешить доступ к портам для выборочных ip? Вот почитайте для начала хотя бы это: ACL http://habrahabr.ru/post/121806/ Wildcard mask http://habrahabr.ru/post/131712/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от sferra01 (ok) on 01-Фев-13, 11:05
	>[оверквотинг удален] >> работает, но мне не нужно >> открывать доступ для всей сети, поэтому делаю так: >> ip access-list extended LIST1 permit tcp host 192.168.0.10 any eq ftp - >> не работает. >> Подскажите, что не так? Как разрешить доступ к портам для выборочных ip? > Вот почитайте для начала хотя бы это: > ACL > http://habrahabr.ru/post/121806/ > Wildcard mask > http://habrahabr.ru/post/131712/ Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя ошибка, статьи эти я читал, но в чем в моем случае косяк я не понял и гугл смотрел но пока не доходит в чем дело, собственно за этим сюда и пришел.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от fantom (ok) on 01-Фев-13, 11:22
	>[оверквотинг удален] >>> Подскажите, что не так? Как разрешить доступ к портам для выборочных ip? >> Вот почитайте для начала хотя бы это: >> ACL >> http://habrahabr.ru/post/121806/ >> Wildcard mask >> http://habrahabr.ru/post/131712/ > Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя > ошибка, статьи эти я читал, но в чем в моем случае > косяк я не понял и гугл смотрел но пока не доходит > в чем дело, собственно за этим сюда и пришел. ACL - просто набор правил, его еще надо на нужном интерфейсе в нужное направление повесить, вы показали только какой-то хвост... Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта....
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от sferra01 (ok) on 01-Фев-13, 11:30
	>[оверквотинг удален] >>> http://habrahabr.ru/post/121806/ >>> Wildcard mask >>> http://habrahabr.ru/post/131712/ >> Спасибо за ссылки, но мне бы все-таки хотелось услышать в чем моя >> ошибка, статьи эти я читал, но в чем в моем случае >> косяк я не понял и гугл смотрел но пока не доходит >> в чем дело, собственно за этим сюда и пришел. > ACL - просто набор правил, его еще надо на нужном интерфейсе в > нужное направление повесить, вы показали только какой-то хвост... > Кроме того пример с ftp плохой, т.к. ftp использует минимум 2 порта.... Хорошо, подробнее опишу: Есть расширенный acl LIST1, который висит на внешнем интерфейсе в режиме out: ip access-group LIST1 out Туда пишу только разрешающие правила, сейчас пока так: ip access-list extended LIST1 permit tcp any any eq domain permit tcp any any eq www permit tcp any any eq 443 Собственно вся подсеть ходит наружу только на www и https, если я добавлю правило: permit tcp any any eq ftp - то вся подсеть ходит на ftp без проблем, но мне надо, чтобы доступ к ftp или вообще для всех портов имели определенные ip из моей подсети, вот это как раз и не получается сделать. Есть еще правила inspect, которые тоже висят на внешнем интерфейсе в режиме out: ip inspect name I_OUT dns ip inspect name I_OUT icmp router-traffic ip inspect name I_OUT ntp ip inspect name I_OUT tcp router-traffic ip inspect name I_OUT udp router-traffic ip inspect name I_OUT http ip inspect name I_OUT https ip inspect name I_OUT ftp Больше никаких правил запрета/разрешения доступа к портам наружу нет.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от fantom (ok) on 01-Фев-13, 11:39
	>[оверквотинг удален] > out: > ip inspect name I_OUT dns > ip inspect name I_OUT icmp router-traffic > ip inspect name I_OUT ntp > ip inspect name I_OUT tcp router-traffic > ip inspect name I_OUT udp router-traffic > ip inspect name I_OUT http > ip inspect name I_OUT https > ip inspect name I_OUT ftp > Больше никаких правил запрета/разрешения доступа к портам наружу нет. Вот, уже лучше. Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно 192.168..... адреса там никогда не появляются. Ваше правило permit tcp host 192.168.0.10 any eq ftp надо вешать на внутреннем интерфейсе и на IN направлении.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от sferra01 (ok) on 01-Фев-13, 12:16
	>[оверквотинг удален] >> ip inspect name I_OUT https >> ip inspect name I_OUT ftp >> Больше никаких правил запрета/разрешения доступа к портам наружу нет. > Вот, уже лучше. > Учитывая, что почти наверняка используется НАТ, пакеты, покидающие наружный интерфейс > имеют IP внешнего интерфейса вне зависимости от адреса первоначального узла, соответственно > 192.168..... адреса там никогда не появляются. > Ваше правило > permit tcp host 192.168.0.10 any eq ftp >  надо вешать на внутреннем интерфейсе и на IN направлении. Благодарю, проверил - работает, причем работает как на IN направлении так и на OUT. О NAT я как-то, признаться не подумал... Правильно ли я понимаю, что если эти правила у меня будут висеть на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла, оно не будет работать? Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе, а общие правила на внешнем?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "доступ к портам для определенных ip ACL"	+/–
	Сообщение от fantom (ok) on 01-Фев-13, 12:53
	>[оверквотинг удален] >> permit tcp host 192.168.0.10 any eq ftp >>  надо вешать на внутреннем интерфейсе и на IN направлении. > Благодарю, проверил - работает, причем работает как на IN направлении так и > на OUT. > О NAT я как-то, признаться не подумал... > Правильно ли я понимаю, что если эти правила у меня будут висеть > на внутреннем интерфейсе, то на внешнем вешать подобные правила нет смысла, > оно не будет работать? > Например если я повешу разрешающие правила для определенных ip на внутреннем интерфейсе, > а общие правила на внешнем? Вы опять изъясняетесь слишком общими фразами. Все сильно зависит от конфигурации сети (количества внутренних интерфейсов например и желаемого уровня контроля трафика) - я не телепат :). Вешать правило надо там, где оно будет давать наилучший эффект. Если желаемый эффект одним правилом или одним ACL-ом не достигается - пишем/вешаем второе и т.д. Принцип кулинарной книги тут далеко не всегда применим.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема