- ACL не работает,
 crash, 06:52 , 31-Мрт-14 (1)> Вот тут оказывается, что порт 22 не закрыт.
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT STATE SERVICE
> 22/tcp filtered ssh Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым
Зачем закрывать порт, на котором ничего не слушается?
- ACL не работает, elk_killa, 07:51 , 31-Мрт-14 (2)
>[оверквотинг удален]
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT STATE SERVICE
> 22/tcp filtered ssh
> Подскажите, где я делаю ошибку?
> Или может быть есть тонкость какая-то?а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у icmp type 3? посмотрите траффик
- ACL не работает, star117, 10:53 , 31-Мрт-14 (3)
>[оверквотинг удален]
>> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
>> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
>> Host is up (0.0043s latency).
>> Not shown: 998 closed ports
>> PORT STATE SERVICE
>> 22/tcp filtered ssh
>> Подскажите, где я делаю ошибку?
>> Или может быть есть тонкость какая-то?
> а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у
> icmp type 3? посмотрите траффик Если я попробую приконнектиться по ssh на 22 порт к роутеру - соединение проходит. То есть порт однозначно открыт не только nmap'у.
- ACL не работает, elk_killa, 11:32 , 31-Мрт-14 (4)
> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
> соединение проходит. То есть порт однозначно открыт не только nmap'у.мб соединение проходит не со стороны интерфейса gi0/0.1?
- ACL не работает, star117, 13:07 , 31-Мрт-14 (5)
>> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
>> соединение проходит. То есть порт однозначно открыт не только nmap'у.
> мб соединение проходит не со стороны интерфейса gi0/0.1?Точно на нём.
Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на них access-group - acl запрещающий коннект на 22 порт для всех 3-х. И коннектица с удалённой машины могу на все три IP. :(
- ACL не работает, elk_killa, 13:46 , 31-Мрт-14 (6)
> Точно на нём.
> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
> них access-group - acl запрещающий коннект на 22 порт для всех
> 3-х. И коннектица с удалённой машины могу на все три IP.
> :( а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
- ACL не работает, star117, 05:51 , 01-Апр-14 (7)
>> Точно на нём.
>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>> них access-group - acl запрещающий коннект на 22 порт для всех
>> 3-х. И коннектица с удалённой машины могу на все три IP.
>> :(
> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано Сейчас ACL выглядит вот так:
#>ip access-list extended port22dis
deny tcp any host x.x.x.x eq 22
deny tcp any host y.y.y.y eq 22
deny tcp any host z.z.z.z eq 22
permit ip any any
Я сам не могу понять почему это не работает....
- ACL не работает, GolDi, 09:15 , 01-Апр-14 (8)
>>> Точно на нём.
>>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>>> них access-group - acl запрещающий коннект на 22 порт для всех
>>> 3-х. И коннектица с удалённой машины могу на все три IP.
>>> :(
>> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis по моему extended на tty нельзя применять
> deny tcp any host x.x.x.x eq 22
> deny tcp any host y.y.y.y eq 22
> deny tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....
- ACL не работает, elk_killa, 09:32 , 01-Апр-14 (9)
> по моему extended на tty нельзя применять
>> deny tcp any host x.x.x.x eq 22
>> deny tcp any host y.y.y.y eq 22
>> deny tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....в первом сообщении ТС его на интерфейсе вешает
- ACL не работает, star117, 11:07 , 01-Апр-14 (12)
>> по моему extended на tty нельзя применять
>>> deny tcp any host x.x.x.x eq 22
>>> deny tcp any host y.y.y.y eq 22
>>> deny tcp any host z.z.z.z eq 22
>>> permit ip any any
>>> Я сам не могу понять почему это не работает....
> в первом сообщении ТС его на интерфейсе вешает Этот acl теперь указан как access-group на интерфейсах к каждому провайдеру.
- ACL не работает, elk_killa, 09:33 , 01-Апр-14 (10)
а что за железка/софт?> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis
> deny tcp any host x.x.x.x eq 22
> deny tcp any host y.y.y.y eq 22
> deny tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....
- ACL не работает, star117, 11:05 , 01-Апр-14 (11)
> а что за железка/софт?
>> Сейчас ACL выглядит вот так:
>> #>ip access-list extended port22dis
>> deny tcp any host x.x.x.x eq 22
>> deny tcp any host y.y.y.y eq 22
>> deny tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....Cisco 3825 ISR
- ACL не работает, star117, 11:14 , 01-Апр-14 (13)
Чудеса!
Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить?
Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview).Заранее спасибо.
ТС.
- ACL не работает, Scrooge, 18:34 , 19-Мрт-15 (14)
> Чудеса!
> Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по
> ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
> Остаётся лишь один вопрос всем кто это читает: у вас такое было?
> Если да, то нашли ли вы причину и смогли ли исправить?
> Может это важно: провайдеров у меня 3, нагрузки на момент вопроса -
> никакой, настроено BGP-соседство пока с одним провайдером (fullview).
> Заранее спасибо.
> ТС.Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню).
Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...
|
Версия для распечатки
ACL не работает, 
