В помощь ИТ специалисту 

Gateway

Обсуждение сетевых операционных систем и их применения (Windows, Linux, FreeBSD, Novell и т.д.)

Модератор: Модераторы

Закрыто
Harry33
Он здесь живет
Сообщения: 2394
Зарегистрирован: 19 дек 2003, 20:43
Откуда: Москва

Сообщение Harry33 » 16 апр 2004, 09:28

Stratofortress
Цитата
давно стОит.  настройка acl на cisco задачка интереснейшая.
но боюсь, уважаемые модераторы, что настройка cisco здесь оффтопик.
[/quote]

Да ничего страшного если затянется перенесем в раздел сетевого оборудования ;)
Знания, которые нельзя применить - бесполезны
Вернуться к началу
PavelKHTW
Активный пользователь
Сообщения: 716
Зарегистрирован: 13 апр 2004, 17:38

Сообщение PavelKHTW » 16 апр 2004, 09:32

domovoy
Цитата
Как понимаете раз адреса в сети реальные то никаким NAT там вообще не пахнет.

[/quote]

1. Если вы так уверены, ваше право - но кто мешает с помощью NAT преобразовывать адреса хоть локальные в локальные, хоть реальные в реальные? - почитайте доку :)

2All - Похоже уважаемый Armarn чего то не договаривает, но то что он утверждает реально работать не может...
Вернуться к началу
Stratofortress
хм...
Аватара пользователя
Сообщения: 611
Зарегистрирован: 07 апр 2004, 17:10
Откуда: ссср

Сообщение Stratofortress » 16 апр 2004, 09:40

Цитата
кто мешает с помощью NAT преобразовывать адреса хоть локальные в локальные, хоть реальные в реальные?
[/quote]

никто. ;) посмотрите мой протокол чуть выше… это nat?
нет времени разбираться — наймите того, кто знает.
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 16 апр 2004, 11:01

Тема действительно затянулась, но как говорится в споре рождается истина :D

Я бы все таки настоял на том что бы проверить правильность отработки acl на cisco, проблема имхо действительно в ней.
Вот тут поправьте если ошибусь ;)
ИМХО это связано с порядком обработки правил в acl
первым правилом у Armarn стоит разрешение серверам
А уже потом запрет всем остальным
При приходе пакетов от клиента через сервер в нем содержится информация о адресе сервера как шлюза, или скорее всего именно как Nat (PavelKHTW как говорится снимаю шляпу :rolleyes: ), а так как правило разрешающее серверу проход через cicso стоит первым то оно отрабатывается и дальнейшие правила игнорируются и cisco пропускает пакеты во вне.
Как я уже писал я в своем тесте поставил правило запрета для IP плиента первым и оно применившись запретило ему доступ даже используя сервер как шлюз.

Как решение проблемы со стороны cisco будет правильная настройка правил в acl вполне возможно что придется прописать IP всех клиентов индивидуально
или запретить (если это можно) серверу работать через cisco по протоколу http, что частично решит проблему.

Вопрос о том почему сервер роутит клиента я думаю мы уде разобрали Armarn стоит все таки внимательно проверить работу RRAS на сервере. Да и как было сказано в начале темы все что там у него использует инет можно пустить спокойно через прокси.
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
PavelKHTW
Активный пользователь
Сообщения: 716
Зарегистрирован: 13 апр 2004, 17:38

Сообщение PavelKHTW » 16 апр 2004, 12:10

Цитата (domovoy @ 16.04.2004 - 10:01)
Вот тут поправьте если ошибусь  ;)
ИМХО это связано с порядком обработки правил в acl
первым правилом у Armarn стоит разрешение серверам
А уже потом запрет всем остальным
При приходе пакетов от клиента через сервер в нем содержится информация о адресе сервера как шлюза, или скорее всего именно как Nat, а так как правило разрешающее серверу проход через cicso стоит первым то оно отрабатывается и дальнейшие правила игнорируются и cisco пропускает пакеты во вне.
Как решение проблемы со стороны cisco будет правильная настройка правил в acl вполне возможно что придется прописать IP всех клиентов индивидуально
или запретить (если это можно) серверу работать через cisco по протоколу http, что частично решит проблему.
[/quote]

Ошибаетесь - просто почитайте о acl, даже не применительно к cisco. Ну а вот это утверждение на мой взгляд просто бредовое:
Цитата
При приходе пакетов от клиента через сервер в нем содержится информация о адресе сервера как шлюза, или скорее всего именно как Nat, а так как правило разрешающее серверу проход через cicso стоит первым то оно отрабатывается и дальнейшие правила игнорируются и cisco пропускает пакеты во вне.

[/quote]

Вот рабочий пример конфига с cisco

interface Ethernet0/0
.......
ip access-group firewalloutEt0 in
ip nat inside
.......
!
ip access-list extended firewalloutEt0
permit tcp host 10.1.18.14 any eq 22
permit udp host 10.1.18.14 any eq 22
deny ip host 10.1.18.14 any
permit tcp host 10.1.18.12 any eq 22
permit udp host 10.1.18.12 any eq 22
deny ip host 10.1.18.12 any
permit tcp host 10.1.18.15 any eq 9000
permit udp host 10.1.18.15 any eq 9000
deny ip host 10.1.18.15 any
permit ip any any
Собственно Et0/0 смотрит в локалку и IP 18.14 18.12 могут ходить только по указанным портам, строка permit ip any any нужна для того, чтобы перекрыть правило по умолчанию deny ip any any и разрешить всем остальным работать
Вернуться к началу
Armarn
Пользователь
Сообщения: 68
Зарегистрирован: 04 фев 2004, 13:20
Откуда: Tbilisi

Сообщение Armarn » 16 апр 2004, 12:14

domovoy
см. пм. :unsure:
Вернуться к началу
Armarn
Пользователь
Сообщения: 68
Зарегистрирован: 04 фев 2004, 13:20
Откуда: Tbilisi

Сообщение Armarn » 16 апр 2004, 12:17

PavelKHTW
так это уже ближе к Делу!


При приходе пакетов от клиента через сервер в нем содержится информация о адресе сервера как шлюза, или скорее всего именно как Nat, а так как правило разрешающее серверу проход через cicso стоит первым то оно отрабатывается и дальнейшие правила игнорируются и cisco пропускает пакеты во вне.
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 16 апр 2004, 12:18

PavelKHTW
Так а что будет если в твоем примере будет так ?

Цитата
ip access-list extended firewalloutEt0
deny ip host 10.1.18.14 any
permit tcp host 10.1.18.14 any eq 22
permit udp host 10.1.18.14 any eq 22

[/quote]
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
domovoy
Администратор
Сообщения: 3444
Зарегистрирован: 19 дек 2003, 13:36
Откуда: Москва

Сообщение domovoy » 16 апр 2004, 12:28

PavelKHTW
А вот по поводу второго утверждения ну не скажи ;)
При отправке пакетов из приватной сети через NAT в сеть с реальными адресами там именно содержится информация об адресе NAT интерфейса шлюза который отправлял пакет иначе по твоему как он обратно вернется к отправителю.
Кстати если уж разбираться в этой ситуации можно было бы снифером перехватить пакеты между клиентом - сервером - cisco и посмотреть что мы имеем на каждом участке, но это уже имхо перебор ;)

А по последовательности отработки правил acl я поэтому и просил меня поправит увы с cicso не работал.
А вот в том же Winrout последовательность правил имеет значение и отработка идет именно так как я сказал.
Правильно заданный вопрос - это уже половина ответа.
Вернуться к началу
PavelKHTW
Активный пользователь
Сообщения: 716
Зарегистрирован: 13 апр 2004, 17:38

Сообщение PavelKHTW » 16 апр 2004, 15:25

Цитата (domovoy @ 16.04.2004 - 11:18)
PavelKHTW
Так а что будет если в твоем примере будет так ?

Цитата
ip access-list extended firewalloutEt0
deny ip host 10.1.18.14 any
permit tcp host 10.1.18.14 any eq 22
permit udp host 10.1.18.14 any eq 22

[/quote]

[/quote]

А для IP 10.1.18.14 вообще инета не будет. - Но это ж понятно и так - нафига спрашивать??? Или вы клоните к тому что я должен вначале запретить, а потом разрешать? :) :) :) - Кстати, в Winroute правила отрабатываются точно так же как в cisco.
Вернуться к началу
Пред.След.
Закрыто

Вернуться в Сетевые операционные системы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Список форумов
Удалить cookies конференции