The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ACL for ICMP"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"ACL for ICMP" 
Сообщение от tyomikh emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Ноя-04, 00:47  (MSK)
нужно чтоб с циски и внутренней сети пинговалось и трассировалось все, снаружи же чтоб нельзя было ничего ни пинговать, ни трассировать.
я пишу:
int vlan 100 (внешний интерфейс, смотрящий на инет)
ip access-group acl100_in in
ip access-group acl100_out out
ip access-list extended acl100_in
permit icmp any any echo-reply
deny icmp any any
permit ip any any
ip access-list extended acl100_out
permit ip any any

почему при этом изнутри наружу все пингуется, снаружи внутрь ничего не пингуется, но к сожалению не работает трэйсрут изнутри наружу... =(

и попутно вопрос: если циска банит кого-то по какому-то пункту ACL, отправляет ли она ему сообщение о недостижимости хоста, порта и т.п.? хотелось бы чтоб она просто отбрасывала пакет, не выдавая своего присутствия. или для этого надо дополнительно запрещать ицмп-пакеты типа host-unreachable, portunreachable, etc?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

  • ACL for ICMP, sh_, 11:20 , 25-Ноя-04, (1)  
    • ACL for ICMP, tyomikh, 14:41 , 25-Ноя-04, (2)  
      • ACL for ICMP, sh_, 15:20 , 25-Ноя-04, (3)  

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "ACL for ICMP" 
Сообщение от sh_ Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Ноя-04, 11:20  (MSK)
>но к сожалению не работает трэйсрут изнутри наружу... =(
Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ACL for ICMP" 
Сообщение от tyomikh emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Ноя-04, 14:41  (MSK)
>>но к сожалению не работает трэйсрут изнутри наружу... =(
>Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты
>посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть.
>

я написал:

int vlan 100 (внешний интерфейс, смотрящий на инет, на нем NAT)
ip access-group acl100_in in
ip access-group acl100_out out
ip access-list extended acl100_in
permit icmp any any echo-reply
permit icmp any any ttl-exceeded
deny icmp any any
permit ip any any
ip access-list extended acl100_out
permit ip any any

в итоге изнутри наружу все пингуется и трассируется,
снаружи внутрь на пинг и трасерт идут ответы от моей_циски_ип: Destination net unreachable

Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала.
Во-вторых, т.к. я явно не разрешил остальных сообщений типа source-quench и других служебных, то стек TCP может некорректно работать, т.к. на интерфейсе NAT? и надо увеличить дыру в системе безопасности, возволил еще кучу других управляющих сообщений? или же можно их не разрешать и все будет работать нормально, чтоб кто-нибудь просто меня не засыпал кучей этих source-quench...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ACL for ICMP" 
Сообщение от sh_ Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 25-Ноя-04, 15:20  (MSK)
>Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала.

Ну запрети выход icmp сообщений Destination net unreachable наружу... :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру