forum.opennet.ru - "Правила для исходящих соединений по порту" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Правила для исходящих соединений по порту"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Правила для исходящих соединений по порту"	+/–
Сообщение от absinth1985 (ok) on 30-Окт-13, 14:05
Здравствуйте! Не гуру в данной области, увы. С давних времён примерно один и тот же конфиг. Выдержка: ip access-list extended infOutLocal permit tcp host x.x.x.x any eq smtp deny tcp any any eq smtp ...... Я думаю, объяснять зачем, не нужно. Сейчас понадобилось, чтобы любой хост из внутренней сети мог работать на 25 порту с заданным. Сделали: ip access-list extended infOutLocal permit tcp host x.x.x.x any eq smtp permit tcp any host y.y.y.y eq smtp deny tcp any any eq smtp ...... Однако не проходит. sh access-list показывает увеличение значения счётчика на deny. Возможно, вопрос глупый, но ЧЯДНТ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Правила для исходящих соединений по порту, Алексей, 14:17 , 30-Окт-13, (1)

Правила для исходящих соединений по порту, absinth1985, 14:33 , 30-Окт-13, (2)

Правила для исходящих соединений по порту, Алексей, 15:00 , 30-Окт-13, (3)

Правила для исходящих соединений по порту, absinth1985, 15:55 , 30-Окт-13, (4)

Правила для исходящих соединений по порту, Andrey, 18:24 , 30-Окт-13, (5)

Правила для исходящих соединений по порту, absinth1985, 18:40 , 30-Окт-13, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Правила для исходящих соединений по порту" +/–

Сообщение от Алексей (??) on 30-Окт-13, 14:17

> ip access-list extended infOutLocal
> permit tcp host x.x.x.x any eq smtp
> permit tcp any host y.y.y.y eq smtp
> deny tcp any any eq smtp
> ......
> Однако не проходит. sh access-list показывает увеличение значения счётчика на deny.
> Возможно, вопрос глупый, но ЧЯДНТ?
А он у Вас in или Out?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Правила для исходящих соединений по порту" +/–

Сообщение от absinth1985 (ok) on 30-Окт-13, 14:33

>> ip access-list extended infOutLocal
>> permit tcp host x.x.x.x any eq smtp
>> permit tcp any host y.y.y.y eq smtp
>> deny tcp any any eq smtp
>> ......
>> Однако не проходит. sh access-list показывает увеличение значения счётчика на deny.
>> Возможно, вопрос глупый, но ЧЯДНТ?
> А он у Вас in или Out?
interface Vlan1
description $ES_LAN$
ip address x.x.x.z 255.255.255.0
ip access-group infOutLocal in

Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким портам.
ip access-list extended infOutLocal
permit tcp host x.x.x.x any eq smtp
permit ip any host y.y.y.y
deny tcp any any eq smtp
...
Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Правила для исходящих соединений по порту" +/–

Сообщение от Алексей (??) on 30-Окт-13, 15:00

> Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким
> портам.
>  ip access-list extended infOutLocal
>  permit tcp host x.x.x.x any eq smtp
>  permit ip any host y.y.y.y
>  deny tcp any any eq smtp
> ...
> Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny.
Ну так описываете, что Вам нужно:
remark PERMIT DOMAIN NAME SYSTEM
permit udp хост_или_локлка any eq domain
remark PERMIT ALL POCHTA
permit tcp хост_или_локлка any eq pop3
permit tcp хост_или_локлка any eq smtp
.....
.....
в конце
deny ip a a

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Правила для исходящих соединений по порту" +/–

Сообщение от absinth1985 (ok) on 30-Окт-13, 15:55

> Ну так описываете, что Вам нужно:
> remark PERMIT DOMAIN NAME SYSTEM
> permit udp хост_или_локлка any eq domain
> remark PERMIT ALL POCHTA
> permit tcp хост_или_локлка any eq pop3
> permit tcp хост_или_локлка any eq smtp
> .....
> .....
> в конце
> deny ip a a
Мне кажется, или вы написали правила, в соответствии с которыми хост_или_локалка изнутри имеют доступ наружу к любому хосту по соответствующему порту? Так не получится. Нужно, чтобы любой произвольный хост_или_локалка (any) имели доступ только к конкретному хосту по указанным портам.
В конце deny ip a a и так есть, но дело в том, что есть некоторые хосты, для которых прописаны правила по типу
permit ip хост any
При этом нужно "выше" задать правило, исключающее для всех, кроме одного сервера, доступ к smtp.
То есть сейчас:
ip access-list extended infOutLocal
permit tcp host x.x.x.x any eq smtp
permit tcp any host y.y.y.y eq smtp - не работает (а надо)
permit ip any host y.y.y.y - тоже не помогает (доступа по SMTP нет, как будто следующее правило написано выше данного)
deny tcp any any eq smtp
....
permit tcp any host z.z.z.z eq 3389 - работает (для примера)
....
permit ip x.x.x.a any
permit ip x.x.x.b any
...
deny ip any any
И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения.
Может быть, я туплю и что-то неправильно понимаю...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Правила для исходящих соединений по порту" +/–

Сообщение от Andrey (??) on 30-Окт-13, 18:24

>[оверквотинг удален]
> ....
> permit tcp any host z.z.z.z eq 3389 - работает (для примера)
> ....
> permit ip x.x.x.a any
> permit ip x.x.x.b any
> ...
> deny ip any any
> И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP
> к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения.
> Может быть, я туплю и что-то неправильно понимаю...
Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к внешним IP (если я правильно понял из вашего описания). Это делается немного другим способом.
Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где у вас внешний интерфейс, а где внутренний.
И access-list покажите в выводе show ip access-list infOutLocal а не при выводе sh run.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Правила для исходящих соединений по порту" +/–

Сообщение от absinth1985 (ok) on 30-Окт-13, 18:40

> Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к
> внешним IP (если я правильно понял из вашего описания). Это делается
> немного другим способом.
> Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где
> у вас внешний интерфейс, а где внутренний.
> И access-list покажите в выводе show ip access-list infOutLocal а не при
> выводе sh run.
NAT-ить ничего не нужно. Как это делать я знаю :)
Что странно, заработало то, что я с самого начала пробовал:
ip access-list extended infOutLocal
permit tcp host 192.168.0.2 any eq smtp
permit ip any host 80......
deny tcp any any eq smtp
...
Но заработало после перезапуска циски, что странно. До этого - ни в какую.
Соответственно правилам:
1) доступ наружу через smtp только одному локальному серверу
2) доступ наружу всем локальным хостам наружу по любым портам к конкретному IP
3) deny кому угодно smtp наружу
4) и т.д.
Почему не работало до перезапуска - вот это вопрос.
Спасибо за помощь!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правила для исходящих соединений по порту"	+/–
Сообщение от Алексей (??) on 30-Окт-13, 14:17
> ip access-list extended infOutLocal > permit tcp host x.x.x.x any eq smtp > permit tcp any host y.y.y.y eq smtp > deny tcp any any eq smtp > ...... > Однако не проходит. sh access-list показывает увеличение значения счётчика на deny. > Возможно, вопрос глупый, но ЧЯДНТ? А он у Вас in или Out?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Правила для исходящих соединений по порту"	+/–
	Сообщение от absinth1985 (ok) on 30-Окт-13, 14:33
	>> ip access-list extended infOutLocal >> permit tcp host x.x.x.x any eq smtp >> permit tcp any host y.y.y.y eq smtp >> deny tcp any any eq smtp >> ...... >> Однако не проходит. sh access-list показывает увеличение значения счётчика на deny. >> Возможно, вопрос глупый, но ЧЯДНТ? > А он у Вас in или Out? interface Vlan1 description $ES_LAN$ ip address x.x.x.z 255.255.255.0 ip access-group infOutLocal in Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким портам. ip access-list extended infOutLocal permit tcp host x.x.x.x any eq smtp permit ip any host y.y.y.y deny tcp any any eq smtp ... Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Правила для исходящих соединений по порту"	+/–
	Сообщение от Алексей (??) on 30-Окт-13, 15:00
	> Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким > портам. > ip access-list extended infOutLocal > permit tcp host x.x.x.x any eq smtp > permit ip any host y.y.y.y > deny tcp any any eq smtp > ... > Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny. Ну так описываете, что Вам нужно: remark PERMIT DOMAIN NAME SYSTEM permit udp хост_или_локлка any eq domain remark PERMIT ALL POCHTA permit tcp хост_или_локлка any eq pop3 permit tcp хост_или_локлка any eq smtp ..... ..... в конце deny ip a a
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Правила для исходящих соединений по порту"	+/–
	Сообщение от absinth1985 (ok) on 30-Окт-13, 15:55
	> Ну так описываете, что Вам нужно: > remark PERMIT DOMAIN NAME SYSTEM > permit udp хост_или_локлка any eq domain > remark PERMIT ALL POCHTA > permit tcp хост_или_локлка any eq pop3 > permit tcp хост_или_локлка any eq smtp > ..... > ..... > в конце > deny ip a a Мне кажется, или вы написали правила, в соответствии с которыми хост_или_локалка изнутри имеют доступ наружу к любому хосту по соответствующему порту? Так не получится. Нужно, чтобы любой произвольный хост_или_локалка (any) имели доступ только к конкретному хосту по указанным портам. В конце deny ip a a и так есть, но дело в том, что есть некоторые хосты, для которых прописаны правила по типу permit ip хост any При этом нужно "выше" задать правило, исключающее для всех, кроме одного сервера, доступ к smtp. То есть сейчас: ip access-list extended infOutLocal permit tcp host x.x.x.x any eq smtp permit tcp any host y.y.y.y eq smtp - не работает (а надо) permit ip any host y.y.y.y - тоже не помогает (доступа по SMTP нет, как будто следующее правило написано выше данного) deny tcp any any eq smtp .... permit tcp any host z.z.z.z eq 3389 - работает (для примера) .... permit ip x.x.x.a any permit ip x.x.x.b any ... deny ip any any И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения. Может быть, я туплю и что-то неправильно понимаю...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Правила для исходящих соединений по порту"	+/–
	Сообщение от Andrey (??) on 30-Окт-13, 18:24
	>[оверквотинг удален] > .... > permit tcp any host z.z.z.z eq 3389 - работает (для примера) > .... > permit ip x.x.x.a any > permit ip x.x.x.b any > ... > deny ip any any > И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP > к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения. > Может быть, я туплю и что-то неправильно понимаю... Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к внешним IP (если я правильно понял из вашего описания). Это делается немного другим способом. Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где у вас внешний интерфейс, а где внутренний. И access-list покажите в выводе show ip access-list infOutLocal а не при выводе sh run.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Правила для исходящих соединений по порту"	+/–
	Сообщение от absinth1985 (ok) on 30-Окт-13, 18:40
	> Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к > внешним IP (если я правильно понял из вашего описания). Это делается > немного другим способом. > Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где > у вас внешний интерфейс, а где внутренний. > И access-list покажите в выводе show ip access-list infOutLocal а не при > выводе sh run. NAT-ить ничего не нужно. Как это делать я знаю :) Что странно, заработало то, что я с самого начала пробовал: ip access-list extended infOutLocal permit tcp host 192.168.0.2 any eq smtp permit ip any host 80...... deny tcp any any eq smtp ... Но заработало после перезапуска циски, что странно. До этого - ни в какую. Соответственно правилам: 1) доступ наружу через smtp только одному локальному серверу 2) доступ наружу всем локальным хостам наружу по любым портам к конкретному IP 3) deny кому угодно smtp наружу 4) и т.д. Почему не работало до перезапуска - вот это вопрос. Спасибо за помощь!
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору