форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по ACL"

Сообщение от skyregent (ok) on 11-Апр-09, 15:39

Вроде с написанием ACL никогда проблем не было, но тут реально мозг сломал ... Суть в чём : за роутером стоит MAIL сервер. Работает наружу он только по SMTP=25 порт (как сказали). Просят прикрыть весь стек остальных протоколов. Но проблема в том что надо применять access-list  не на том интерфейсе куда включена сервачина (Fa0/1), а на общем входном из WANa (Fa0/0). Ну в принципе на первый взгялд это не сложно, написал обычный access-list : access-list 100 ............................................. access-list 100 permit   tcp any host AAA.BBB.CCC.DDD eq smtp access-list 100 deny     ip  any host AAA.BBB.CCC.DDD access-list 100 ............................................. Но не тут бо было, перестала почта отправляться. начал рыть, оказалось что DNS у неё через эту же соскеу пашет ... ну открыл DNS access-list 100 ............................................. access-list 100 permit   tcp any host AAA.BBB.CCC.DDD eq smtp access-list 100 permit   tcp any host AAA.BBB.CCC.DDD eq 53 access-list 100 deny     ip  any host AAA.BBB.CCC.DDD access-list 100 ............................................. и опять нифига ... не отправляется. Зашёл на сервер (ограниченные права) выпонил netstat ... дык там оказалось куча портов активных , ничего общего ни с 25-м ни с 53 не имеющим... провёл эксперимент - access-list 100 ............................................. access-list 100 permit   tcp any host AAA.BBB.CCC.DDD gt 100 access-list 100 ............................................. разрешил все порты ниже 100 ... фиг два короче  .... Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался так чтобы ...

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по ACL"

Сообщение от lumenous (ok) on 11-Апр-09, 16:40

>[оверквотинг удален] >, ничего общего ни с 25-м ни с 53 не имеющим... провёл >эксперимент - >access-list 100 ............................................. >access-list 100 permit   tcp any host AAA.BBB.CCC.DDD gt 100 >access-list 100 ............................................. > >разрешил все порты ниже 100 ... фиг два короче  .... > >Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался >так чтобы ... Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. И на fa0/0 на in надеюсь вешаете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вопрос по ACL"
	Сообщение от blank (ok) on 11-Апр-09, 17:15
	>[оверквотинг удален] >>access-list 100 ............................................. >> >>разрешил все порты ниже 100 ... фиг два короче  .... >> >>Подскажите в каком направлении рыть ... никогда с защитой серверов не сталкивался >>так чтобы ... > >Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. > >И на fa0/0 на in надеюсь вешаете? запросы от DNS клиентов идут по UDP, по TCP только рекурсия между серверами.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вопрос по ACL"
	Сообщение от skyregent (ok) on 11-Апр-09, 22:23
	> >Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. --- не помогло :(((( > >И на fa0/0 на in надеюсь вешаете? --- естественно :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вопрос по ACL"
	Сообщение от brr on 12-Апр-09, 11:47
	> >> >>Если не ошибаюсь, DNS еще по UDP работает. Попробуйте и его открыть. > >--- не помогло :(((( > >> >>И на fa0/0 на in надеюсь вешаете? > >--- естественно :) зачем Вам открывать dns - если речь идет об входящем smtp достаточно permit tcp any any eq smtp а если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке то лучше наверное строить политику както иначе...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вопрос по ACL"
	Сообщение от skyregent (ok) on 12-Апр-09, 13:37
	> >зачем Вам открывать dns - если речь идет об входящем smtp >достаточно permit tcp any any eq smtp > >а если на вашем чудо-сервере работет столько сервисов, сколько горошен в мешке >то лучше наверное строить политику както иначе... ---согласен  но проблема в том, что человек который настраивал сервер утверждает, что сервак должен ходить в WAN только по протоколу SMTP ... а на самом деле рублю все пртоколы окромя SMTP, всё, сразу почта перестаёт ходить ... по логам выяснил что не отправляется потому как Kerio (на серваке стоит) не может установить соединение с удалённым хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4 DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах выше 1023 (но это явно бред какой-то) .... понять не могу в чём прикол...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Вопрос по ACL"
	Сообщение от brr on 12-Апр-09, 14:46
	>[оверквотинг удален] >---согласен  но проблема в том, что человек который настраивал сервер утверждает, >что сервак должен ходить в WAN только по протоколу SMTP ... >а на самом деле рублю все пртоколы окромя SMTP, всё, сразу >почта перестаёт ходить ... по логам выяснил что не отправляется потому >как Kerio (на серваке стоит) не может установить соединение с удалённым >хостом. порылся, обратил внимание что на сетевом ин-се (сервера)смотрящим в реальную >сеть (у сервака две сетевых (одна наружу, другая внутрь) висят 4 >DNSa... открыл нифига... такое очучение что SMTP поднимает что-то на портах >выше 1023 (но это явно бред какой-то) .... понять не могу >в чём прикол... я думаю администратор сервер должен знать это... smtp еще можно использовать ident rfc #1413
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Вопрос по ACL"
	Сообщение от ре on 12-Апр-09, 21:54
	[URL=http://2ip.ru/spambot][IMG]http://2ip.ru/spam...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Вопрос по ACL"

Сообщение от сашка on 13-Апр-09, 01:50

Для того чтобы почта работала permit   tcp any host AAA.BBB.CCC.DDD eq smtp этого правила достаточно, однако если у вас там же еще и днс-сервер то помимо permit   tcp any host AAA.BBB.CCC.DDD eq 53 permit   udp any host AAA.BBB.CCC.DDD eq 53 надо еще добавить правило: permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023 это правило разрешает обращаться к внешним днс-серверам, например днс-провайдера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Вопрос по ACL"
	Сообщение от skyregent (ok) on 22-Апр-09, 13:02
	>[оверквотинг удален] >permit   tcp any host AAA.BBB.CCC.DDD eq smtp >этого правила достаточно, >однако если у вас там же еще и днс-сервер то помимо > >permit   tcp any host AAA.BBB.CCC.DDD eq 53 >permit   udp any host AAA.BBB.CCC.DDD eq 53 > >надо еще добавить правило: >permit udp any eq 53 host AAA.BBB.CCC.DDD gt 1023 >это правило разрешает обращаться к внешним днс-серверам, например днс-провайдера благодарю ! Всё пошло !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]