Новые ответы

Динамический ACL….,

sergeyfromkomi, 26-Июн-08, 18:05 [смотреть все]

Подскажите пожалуйста !!!!! Как корректно настроить на cisce 28 серии ACL лист на входящий/исходящий трафик ? В обратном направлении (из LAN в WAN)вроде всё ясно: для разрешения только http запросов я разрешаю порт tcp 80 и udp 53 , а всё остальное закрываю (any deny) – так клиент из Lan сможет ходить ТОЛЬКО по http.
Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме http ? Проблема в том что при обратном ответе WEB сервера попытается установить обратное соединение с юзером по другому (динамическому) порту (80 порт занят инициализацией первого запроса клиента) а мне надо его разрешит а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL…. ?????
P.S. спасибо за ответ…
Если разбогатею то обязательно найду и отблагодарю!

Ответить | Сообщить модератору

Динамический ACL…., SergTel, 22:05 , 26-Июн-08 (1)
>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
Вначале это:
http://www.ciscolab.ru/2006/09/18/page,2,access_list1.html
потом:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
Ответить | Сообщить модератору
Динамический ACL…., CrAzOiD, 01:22 , 27-Июн-08 (2)
>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
смотреть в сторону:
1. permit established
2. reflective acl
3. ip inspect - самый правильный вариант
Ответить | Сообщить модератору
Динамический ACL…., SergTel, 13:01 , 27-Июн-08 (3)
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента)
Это какой-то очень хитрый вэб
имеющий софт на стороне клиента?
Я всегда считал что динамический порт открывает сессию и ждет ответ на на этот-же порт.
После окончания сессии порт освобождается. Принимает данные динамический порт с определенного адреса и порта.
Если я ошибаюсь поправте меня.
Ответить | Сообщить модератору

Динамический ACL…., DeeJayBee, 15:33 , 27-Июн-08 (5)
Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……
Ответить | Сообщить модератору
Динамический ACL…., DeeJayBee, 15:46 , 27-Июн-08 (6)
Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно:
>Я всегда считал что динамический порт  открывает сессию и ждет ответ
>на на этот-же порт.
>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>и порта.
Надо только проконтролировать что б этот порт был инициализирован  клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал.
Это  вроде у  КИСКИ  называется ip inspect……
Ответить | Сообщить модератору

Динамический ACL…., SergTel, 17:21 , 27-Июн-08 (7)
>[оверквотинг удален]
>>на на этот-же порт.
>>После окончания сессии порт освобождается. Принимает данные динамический порт с >определенного адреса
>>и порта.
>
>Надо только проконтролировать что б этот порт был инициализирован клиентом и
>разрешить проход трафика через него( через порт) от сервера к клиенту.
>А затем закрыть порт чтоб никто и низа что не чё
>плохое в него не с(р)(л)ал.
>
>Это вроде у КИСКИ называется ip inspect……
Динамический порт на хосте закрывается автоматически по окончании сессии или по тайм-ауту
и ip inspect его никак не закроет
назначение инспекта блокировать атаки через и на маршрутизатор
Ответить | Сообщить модератору

Динамический ACL…., flashdumper, 14:13 , 27-Июн-08 (4)
>[оверквотинг удален]
>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме
>http ? Проблема в том что при обратном ответе WEB сервера
>попытается установить обратное соединение с юзером по другому (динамическому) порту (80
>порт занят инициализацией первого запроса клиента) а мне надо его разрешит
>а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера
>и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL….
>?????
>
>P.S. спасибо за ответ…
>Если разбогатею то обязательно найду и отблагодарю!
это называется CBAC батенька... правильно вам говорят ip inspect в помощь
Ответить | Сообщить модератору