форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"AСL+TFTP+INSPECT"		+/–
Сообщение от tashmen (ok) on 12-Апр-10, 14:57
Добрый день! Имеем cisco 2801 вот вырезка из конфига: ip inspect name FW tcp router-traffic ip inspect name FW udp router-traffic interface FastEthernet0/0 ip address 172.16.1.8 255.255.255.0 ip access-group WAN-IN in ip inspect FW out ip access-list extended WAN-IN permit tcp any any established permit icmp any any permit tcp any any eq 22 permit tcp any any eq telnet При этом нет возможности слить рабочий конфиг с маршрутизатора на удаленный tftp сервер. copy running-config tftp://172.16.1.160 Address or name of remote host [172.16.1.160]? Destination filename [s10-r1-confg]? ..... %Error opening tftp://172.16.1.160/s10-r1-confg (Timed out) В логах появляется следующее: 000097: Apr 12 15:33:32 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(59691) -> 172.16.1.8(64445), 1 packet т.е. инспекция не работает :( sh ip inspect all Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [unlimited : unlimited] connections max-incomplete sessions thresholds are [unlimited : unlimited] max-incomplete tcp connections per host is unlimited. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name FW     udp alert is on audit-trail is off timeout 30 inspection of router local traffic is enabled     tcp alert is on audit-trail is off timeout 3600 inspection of router local traffic is enabled     tftp alert is on audit-trail is off timeout 30 Interface Configuration Interface FastEthernet0/0   Inbound inspection rule is not set   Outgoing inspection rule is FW     udp alert is on audit-trail is off timeout 30 inspection of router local traffic is enabled     tcp alert is on audit-trail is off timeout 3600   Inbound access list is WAN-IN   Outgoing access list is not set Half-open Sessions Session 63334B78 (172.16.1.8:50593)=>(172.16.1.160:69) udp SIS_OPENING
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "AСL+TFTP+INSPECT"		+/–
Сообщение от Gbyte (ok) on 12-Апр-10, 15:25
Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором". Как раз про инспектирование пишет. Посмотри, может поможет...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "AСL+TFTP+INSPECT"		+/–
	Сообщение от tashmen (ok) on 12-Апр-10, 20:10
	>Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс >молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором". > >Как раз про инспектирование пишет. > >Посмотри, может поможет... Я это уже читал, не помогло
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "AСL+TFTP+INSPECT"		+/–
	Сообщение от j_vw on 12-Апр-10, 20:53
	debug ip inspect чего говорит? IMHO, порты странные в ошибке... Попробуйте другой TFTP сервер....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "AСL+TFTP+INSPECT"		+/–
	Сообщение от tashmen (ok) on 13-Апр-10, 09:24
	> >debug ip inspect чего говорит? > >IMHO, порты странные в ошибке... >Попробуйте другой TFTP сервер.... Пробовал разные tftp серверы (Tftpd, 3CDaemon) результат одинаковый. S10-R1#debug ip inspect udp S10-R1#debug ip inspect tftp S10-R1#copy running-config tftp://172.16.1.160 Address or name of remote host [172.16.1.160]? Destination filename [s10-r1-confg]? 000079: Apr 13 10:21:50 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C86CB0 SIS_CLOSED UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21. 000080: Apr 13 10:21:53 UZB: FIREWALL UDP: sis 633CD1B8 pak 631201E0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21 000081: Apr 13 10:21:53 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49881) -> 172.16.1.8(57217), 1 packet . 000082: Apr 13 10:21:57 UZB: FIREWALL UDP: sis 633CD1B8 pak 63123318 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21 000083: Apr 13 10:21:57 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49882) -> 172.16.1.8(57217), 1 packet 000087: Apr 13 10:22:02 UZB: FIREWALL UDP: sis 633CD1B8 pak 63124830 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21 000088: Apr 13 10:22:02 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49883) -> 172.16.1.8(57217), 1 packet 000091: Apr 13 10:22:08 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C888D0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21 000092: Apr 13 10:22:08 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49884) -> 172.16.1.8(57217), 1 packet %Error opening tftp://172.16.1.160/s10-r1-confg (Timed out) S10-R1#
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "AСL+TFTP+INSPECT"		+/–
	Сообщение от tashmen (ok) on 13-Апр-10, 10:12
	А кас. странных номеров портов, то как я нашел в нете: Many TFTP servers use random UDP port numbers for individual TFTP sessions in accordance with sections 3 and 4 of RFC 1350 (TFTP misuses UDP port numbers as transfer identifiers). это не противоречит RFC. и как я понял однозначного решения этой проблемы нет, только ACL-ом явно разрешить весь udp траффик на конкретный хост. Решением была бы команда ip inspect name FW tftp router-traffic но ее пока нет в природе :(
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема