- Access Control List,
 reader, 18:54 , 05-Янв-16 (1)> Здравствуйте уважаемые пользователи форума.
> Прошу Вашей помощи.
> Задача вот какая, есть ftp сервер к которому нужно обращаться только по
> ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также
> надо чтобы FTP шел в интернет, конфигурирую след.образом:
> ip access-list extended for-ftp-server
> permit tcp any host 40.0.0.2 eq www
> permit tcp any host 40.0.0.2 eq ftp
> permit ip host 10.0.0.10 host 40.0.0.2 при ftp используется не только ftp, а от режима еще и направления разные, неговоря уже про порты.
> ip access-group for-ftp-server out а out это в куда?
> Все работает как нужно, только ftp все ровно в интернет не идет.
> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
> нужно реализовать. Заранее благодарен!!! :)
- Access Control List, SHAH, 12:17 , 06-Янв-16 (2)
>[оверквотинг удален]
>> permit tcp any host 40.0.0.2 eq ftp
>> permit ip host 10.0.0.10 host 40.0.0.2
> при ftp используется не только ftp, а от режима еще и направления
> разные, неговоря уже про порты.
>> ip access-group for-ftp-server out
> а out это в куда?
>> Все работает как нужно, только ftp все ровно в интернет не идет.
>> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
>> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
>> нужно реализовать. Заранее благодарен!!! :) Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать ACL что запретить обращение по какому-либо протоколу и при этом не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это нужно реализовать помогите!!!
Буду очень благодарен!!! :)
- Access Control List, crash, 19:15 , 06-Янв-16 (3)
> Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать
> ACL что запретить обращение по какому-либо протоколу и при этом
> не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это
> нужно реализовать помогите!!!
> Буду очень благодарен!!! :) запрещаете доступ из локальных сетей и разрешаете со всех остальных.
- Access Control List, vigogne, 20:46 , 10-Янв-16 (4)
>[оверквотинг удален]
> надо чтобы FTP шел в интернет, конфигурирую след.образом:
> ip access-list extended for-ftp-server
> permit tcp any host 40.0.0.2 eq www
> permit tcp any host 40.0.0.2 eq ftp
> permit ip host 10.0.0.10 host 40.0.0.2
> ip access-group for-ftp-server out
> Все работает как нужно, только ftp все ровно в интернет не идет.
> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
> нужно реализовать. Заранее благодарен!!! :) Ну давайте разберем Ваш пример:
Читаем слева-направо:
1 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 80 порт (www)
2 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 21 порт (ftp)
3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2
4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any) Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group for-ftp-server in)
Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут излишне. Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp..., там довольно просто описаны ACL для самых распространенных сервисов.
- Access Control List, SHAH, 13:27 , 12-Янв-16 (6)
>[оверквотинг удален]
> (ftp)
> 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2
> 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any)
> Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group
> for-ftp-server in)
> Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд
> ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут
> излишне.
> Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp...,
> там довольно просто описаны ACL для самых распространенных сервисов.Да, это я уже понял, что я в не правильном порядке написал правила.
Спасибо. Знал о ней давно, но к сожалению в ней ответ на свой вопрос не нашел. Хотя конечно стоит её еще раз причитать.
Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы делали?
Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!
P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень долго сижу в ACL!
Заранее благодарен!!!
- Access Control List, vigogne, 20:50 , 12-Янв-16 (7)
>[оверквотинг удален]
> Да, это я уже понял, что я в не правильном порядке написал
> правила.
> Спасибо. Знал о ней давно, но к сожалению в ней ответ на
> свой вопрос не нашел. Хотя конечно стоит её еще раз причитать.
> Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы
> делали?
> Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!
> P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень
> долго сижу в ACL!
> Заранее благодарен!!!Да чем же Вам поможет моя "простынка" правил? У меня же и структура сети совершенно другая, и набор сервисов и решаемые задачи... Так Вы еще больше запутаетесь :)
сделайте проще, создайте всего два правила:
1 permit tcp any any established #чтобы пропускать пакеты уже установленных соединений
99 deny ip any any log-input #чтобы увидеть в консоли, какие пакеты отбрасываются вешаете его на внешний интерфейс в направлении in и, пытаясь подключиться к нужным сервисам с внешних хостов, смотрите вывод лога (не забываем про ter mon) Помогу разобрать лог. Вываливаться будет примерно такие строчки:
Jan 12 19:47:42.649: %SEC-6-IPACCESSLOGP: list acl-in-brd denied tcp 10.77.12.3(44351) (Port-channel1.170 001f.12c6.907a) -> 10.45.10.3(8080), 2 packets 1. Время и дата события
2. Тип лог-сообщения
3. Название ACL (после слова list)
4. Результат обработки пакета. В данном случае - отброшен (denied)
5. Протокол - tcp
6. Адрес и порт, с которого пришел пакет
7. Интерфейс (имя и его mac-адрес)
8. Адрес и порт хоста, на который был отправлен пакет
9. Количество обработанных пакетов. Теперь, чтобы дать доступ к сервису, висящему на порту 8080 на сервере 10.45.10.3, нужно добавить в ACL правило:
2 permit tcp any host 10.45.10.3 eq 8080 Надеюсь, что помог Вам, тем более, как Вы говорите, давно сидите с ACL, уже должны на лету схватывать ;)
- Access Control List, ShyLion, 07:14 , 11-Янв-16 (5)
> Здравствуйте уважаемые пользователи форума.
> Прошу Вашей помощи.
> Задача вот какая, есть ftp сервер к которому нужно обращаться только по
> ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также
> надо чтобы FTP шел в интернет, конфигурирую след.образом: FTP за НАТом?
Если из внешних сетей (интернета) нужно чтобы был доступ к FTP сервису, то какой практический смысл запрещать к нему доступ изнутри? Если прямо очень хочется, то в таком случае гораздо проще сделать это средствами самого FTP сервера/сервиса.
Чтобы полноценно фильтровать FTP, фаервол должен уметь заглядывать "внутрь" FTP протокола, потому что этот протокол является сложным с точки зрения регулирования доступа - он для передачи данных (в том числе листинга файлов) использует отдельное сетевое соединение номером порта 20 с одной стороны и случайно (в общем случае) выбраным номером порта с другой стороны, причем направление соединения зависит о выбранного клиентом режима работы, коих в первоначальной версии протокола два, а в более поздних добавили еще варианты.
По этому - простым аксес-листом не получится полностью отделаться, останутся варианты когда ничего не заработает. Выход - использовать ALG, т.е. либо ip inspect либо Zone Based Firewall. ZBF самый свежий метод. Пример (бездумно не копировать, а понять смысл):
ip inspect log drop-pkt
zone security LAN
zone security INETobject-group service good_ICMP
icmp echo
icmp echo-reply
icmp parameter-problem
icmp unreachable
icmp source-quench
icmp traceroute
icmp time-exceeded ip access-list extended zbfc_ICMP
permit object-group good_ICMP any any class-map type inspect match-any zbfc_ICMP
match access-group name zbfc_ICMP class-map type inspect match-any zbfc_FTP
match protocol ftp class-map type inspect match-any zbfc_INET_IN_SELF
match protocol ssh
match protocol ntp policy-map type inspect zbfp_INET2LAN
class zbfc_FTP
inspect
class class-default
drop policy-map type inspect zbfp_INET2SELF
class zbfc_INET_IN_SELF
pass
class zbfc_ICMP
pass class-map type inspect match-any zbfc_DROP_OUT
match protocol bittorrent
match protocol pptp
match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
match protocol ftp
match protocol tcp
match protocol udp
match protocol icmp policy-map type inspect zbfp_LAN2INET
class zbfc_DROP_OUT
drop log
class zbfc_INSPECT_OUT
inspect
class class-default
pass zone-pair security zp_INET2LAN source INET destination LAN
service-policy type inspect zbfp_INET2LAN zone-pair security zp_INET2SELF source INET destination self
service-policy type inspect zbfp_INET2SELF zone-pair security zp_LAN2INET source LAN destination INET
service-policy type inspect zbfp_LAN2INET interface Vlan1
ip nat inside
zone-member security LAN interface Dial1
ip nat outside
zone-member security INET ip nat inside static tcp 10.ftp.srv.ip 21 interface Dial1 21
|
Версия для распечатки
Access Control List, 
