forum.opennet.ru - "ACL for ICMP" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ACL for ICMP"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ACL for ICMP"
Сообщение от tyomikh (??) on 25-Ноя-04, 00:47 (MSK)
нужно чтоб с циски и внутренней сети пинговалось и трассировалось все, снаружи же чтоб нельзя было ничего ни пинговать, ни трассировать. я пишу: int vlan 100 (внешний интерфейс, смотрящий на инет) ip access-group acl100_in in ip access-group acl100_out out ip access-list extended acl100_in permit icmp any any echo-reply deny icmp any any permit ip any any ip access-list extended acl100_out permit ip any any почему при этом изнутри наружу все пингуется, снаружи внутрь ничего не пингуется, но к сожалению не работает трэйсрут изнутри наружу... =( и попутно вопрос: если циска банит кого-то по какому-то пункту ACL, отправляет ли она ему сообщение о недостижимости хоста, порта и т.п.? хотелось бы чтоб она просто отбрасывала пакет, не выдавая своего присутствия. или для этого надо дополнительно запрещать ицмп-пакеты типа host-unreachable, portunreachable, etc?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ACL for ICMP, sh_, 11:20 , 25-Ноя-04, (1)
- ACL for ICMP, tyomikh, 14:41 , 25-Ноя-04, (2)
  - ACL for ICMP, sh_, 15:20 , 25-Ноя-04, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ACL for ICMP"

Сообщение от sh_ (??) on 25-Ноя-04, 11:20  (MSK)

>но к сожалению не работает трэйсрут изнутри наружу... =(
Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ACL for ICMP"

Сообщение от tyomikh (??) on 25-Ноя-04, 14:41  (MSK)

>>но к сожалению не работает трэйсрут изнутри наружу... =(
>Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты
>посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть.
>
я написал:
int vlan 100 (внешний интерфейс, смотрящий на инет, на нем NAT)
ip access-group acl100_in in
ip access-group acl100_out out
ip access-list extended acl100_in
permit icmp any any echo-reply
permit icmp any any ttl-exceeded
deny icmp any any
permit ip any any
ip access-list extended acl100_out
permit ip any any
в итоге изнутри наружу все пингуется и трассируется,
снаружи внутрь на пинг и трасерт идут ответы от моей_циски_ип: Destination net unreachable
Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала.
Во-вторых, т.к. я явно не разрешил остальных сообщений типа source-quench и других служебных, то стек TCP может некорректно работать, т.к. на интерфейсе NAT? и надо увеличить дыру в системе безопасности, возволил еще кучу других управляющих сообщений? или же можно их не разрешать и все будет работать нормально, чтоб кто-нибудь просто меня не засыпал кучей этих source-quench...

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ACL for ICMP"

Сообщение от sh_ (??) on 25-Ноя-04, 15:20  (MSK)

>Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала.
Ну запрети выход icmp сообщений Destination net unreachable наружу... :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ACL for ICMP"
Сообщение от sh_ (??) on 25-Ноя-04, 11:20 (MSK)
>но к сожалению не работает трэйсрут изнутри наружу... =( Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ACL for ICMP"
	Сообщение от tyomikh (??) on 25-Ноя-04, 14:41 (MSK)
	>>но к сожалению не работает трэйсрут изнутри наружу... =( >Если не ошибаюсь, то так и должно быть. Посмотрите, какие icmp пакеты >посылаются при истечении ttl и разрешите им проходить во внутреннюю сеть. > я написал: int vlan 100 (внешний интерфейс, смотрящий на инет, на нем NAT) ip access-group acl100_in in ip access-group acl100_out out ip access-list extended acl100_in permit icmp any any echo-reply permit icmp any any ttl-exceeded deny icmp any any permit ip any any ip access-list extended acl100_out permit ip any any в итоге изнутри наружу все пингуется и трассируется, снаружи внутрь на пинг и трасерт идут ответы от моей_циски_ип: Destination net unreachable Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала. Во-вторых, т.к. я явно не разрешил остальных сообщений типа source-quench и других служебных, то стек TCP может некорректно работать, т.к. на интерфейсе NAT? и надо увеличить дыру в системе безопасности, возволил еще кучу других управляющих сообщений? или же можно их не разрешать и все будет работать нормально, чтоб кто-нибудь просто меня не засыпал кучей этих source-quench...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ACL for ICMP"
	Сообщение от sh_ (??) on 25-Ноя-04, 15:20 (MSK)
	>Во-первых, хотелось бы, чтоб она просто молчала как партизан и ничего не выдавала. Ну запрети выход icmp сообщений Destination net unreachable наружу... :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх