Особености icmp у PIX
Модератор: Модераторы
Сообщений: 3
• Страница 1 из 1
Lanmaster » 02 фев 2007, 09:41
Привет всем!
Копаюсь с PIX501.
Появился интересный вопрос (может только для меня).
Осуществлена статическая трансляция между двумя адресами
static (inside,outside) 192.168.254.253 10.17.0.253 netmask 255.255.255.255
Хочется чтобы пинги ходили только на этот адрес (допустим что есть еще диапазон для NAT)
Делаю access-list acl_icmp permit icmp any host 192.168.254.253
Привязываю к интерфейсу outside
access-group acl_icmp in interface outside
И пинги начинают ходить.
Потом чтобы ограничить одним хостом возможность пингования внешней
сети меняю запись на
access-list acl_icmp permit icmp host 10.17.0.251 host 192.168.254.253
Снова привязываю (просто в access-list сначала запись удаляю, а потом
снова ввожу и привязка слетает, т.к. лист удаляется м-у командами )
И пинги перестают ходить
Причем если смотреть debug icmp
есть между настройками отличие в количестве пакетов
При последней записи не появляется пакет ICMP echo-request: untranslation outside : 192.168.254.253 to inside: 10.17.0.251
Соттветственно пингов и нет.
Документацию посмотрел (наверное плохо) какого-либо объяснения для себя не нашел. Почему в Одном случае пакет пробрасывается не транслируясь, а во втором нет
Может кто ссылку даст, чтобы почитать про это. Как это у него внутри-то.
Что от чего зависит?
С уважение и наилучшими пожеланиями! Lanmaster
PavelKHTW » 05 фев 2007, 22:55
access-list acl_icmp permit icmp host 10.17.0.251 host 192.168.254.253
- с какого этому ACL работать, особенно если он привязан к in на Outside???
по сути он работает так - в PIX через интерфейс(для тебя это извне) приходит пакет и если этот пакет идет с адреса 10.17.0.251 и идет на адрес 192.168.254.253 при этом это пакеты icmp - тогда его пропустить.
а снаружи просто неоткуда взяться адресам из 10-й сети, которая у тебя внутри
разберись с понятиями in и out в ACL. По простому - in для любого интерфейса, это когда пакет идет внутрь устройства, out - это когда пакет идет из устройства через интерфейс, при этом не важно что у тебя интерфейс поименован Inside или Outside - парсеру ACL все равно
- с какого этому ACL работать, особенно если он привязан к in на Outside???
по сути он работает так - в PIX через интерфейс(для тебя это извне) приходит пакет и если этот пакет идет с адреса 10.17.0.251 и идет на адрес 192.168.254.253 при этом это пакеты icmp - тогда его пропустить.
а снаружи просто неоткуда взяться адресам из 10-й сети, которая у тебя внутри
разберись с понятиями in и out в ACL. По простому - in для любого интерфейса, это когда пакет идет внутрь устройства, out - это когда пакет идет из устройства через интерфейс, при этом не важно что у тебя интерфейс поименован Inside или Outside - парсеру ACL все равно
Lanmaster » 07 фев 2007, 12:55
Спасибо PavelKHTW!!!
Ваш ответ навел меня на мысль и тут все уложилось.
Оказалось дело не в in или out
Тут то все было нормально.
А дело было в моем непонимании так сказать
структурной схемы самого PIX.
Я то думал - что трафик фильтруется пройдя через интерфейс и уже
потом применяются правила (сейчас вот думаю почему мне это так
показалось. нет никаких объективных причин для этого. трафик должен обрабатываться на интерфейсе, а уже потом отфильтрованный проверятся на
атаки. А у меня было совсем в голове не так). Но сейчас все нормально.
Учитывая что у меня static достаточно просто было написать
access-list acl_icmp permit icmp host 192.168.254.252 host 192.168.254.253
и все покатило.
192.168.254.252 - Это host тестовый
Еще раз спасибо. Я думаю тему можно закрыть!
С уважением и наилучшими пожеланиями!
Lanmaster
Сообщений: 3
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25