форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"ACL: две сети, базовая настройка"	+/–
Сообщение от stakado (ok) on 08-Дек-15, 11:36
Здравствуйте! Пытаюсь настроить ACL на WS-C3560X-24T-S. Имеется 2 сети, разнесенные в 2 влана. Vlan101: 10.0.0.0/24 (сеть Public): vlan 101 name PublicNet interface Vlan101 ip address 10.0.0.97 255.255.255.0 <--- тут виден IP-адрес Cisco. Vlan102: 10.21.0.0/24 (сеть 1С): vlan 102 name 1CNet interface Vlan102 ip address 10.21.0.9 255.255.255.0 Сеть Public подключена к gi0/1: interface GigabitEthernet0/1 description Link to PublicNet switchport access vlan 101 switchport mode access Сеть 1С подключена к gi0/5: interface GigabitEthernet0/5 description Link to 1C-host switchport access vlan 102 switchport mode access Есть админский ПК - 10.0.0.2, пытаюсь сделать следующее: - разрешить доступ к телнет Cisco - разрешить доступ к сети 1С (по всем протоколам) - запретить доступ из сети 1С к сети Public - запретить доступ из сети Public (всем, кроме адм. ПК) к сети 1С Вариант А: делаю правила с использованием конструкции tcp established: interface Vlan101 ip address 10.0.0.97 255.255.255.0 ip access-group inAdmins in ip access-group outAdmins out ip access-list extended inAdmins permit tcp host 10.0.0.2 host 10.0.0.97 eq telnet permit ip host 10.0.0.2 10.21.0.0 0.0.0.255 ip access-list extended outAdmins permit tcp host 10.0.0.97 host 10.0.0.2 eq telnet permit tcp 10.21.0.0 0.0.0.255 host 10.0.0.2 established permit icmp 10.21.0.0 0.0.0.255 host 10.0.0.2 echo-reply Так работает! Но мне не нравится то, что доступ от АдмПк к сети 1С будет лишь по протоколу tcp - из-за ограничений established. Вариант Б: делать через reflexive ACL interface Vlan101 ip address 10.0.0.97 255.255.255.0 ip access-group inAdmins in ip access-group outAdmins out ip access-list extended inAdmins permit tcp host 10.0.0.2 host 10.0.0.97 eq telnet permit ip host 10.0.0.2 10.21.0.0 0.0.0.255 reflect permTraf ip access-list extended outAdmins permit tcp host 10.0.0.97 host 10.0.0.2 eq telnet evaluate permTraf Не работает! Трафик от адмПК к сети 1С не идет. Вопрос 1: Я что-то не дописал? Или написал не правильно? Подскажите, пожалуйста, как сделать так, чтобы трафик ходил. Вопрос 2: в верном ли направлении я двигаюсь? Или может есть более удобные/правильные решения для организации доступа от адмПК к сети 1С?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL: две сети, базовая настройка"	+/–
Сообщение от stakado (ok) on 08-Дек-15, 11:37
На всякий случай вывод sh access-list для варианта Б (попытка инициировать соединение от адмПК к 1С уже была): Extended IP access list inAdmins     10 permit tcp host 10.0.0.2 host 10.0.0.97 eq telnet (115 matches)     20 permit ip host 10.0.0.2 10.21.0.0 0.0.0.255 reflect permTraf Extended IP access list outAdmins     10 permit tcp host 10.0.0.97 host 10.0.0.2 eq telnet     20 evaluate permTraf Reflexive IP access list permTraf Тут пусто, а не я забыл скопировать часть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ACL: две сети, базовая настройка"	+/–
	Сообщение от stakado (ok) on 08-Дек-15, 11:47
	Так же попробовал перенести acl с vlan101 out на vlan102 in: interface Vlan101 ip address 10.0.0.97 255.255.255.0 ip access-group inAdmins in interface Vlan102 ip address 10.21.0.9 255.255.255.0 ip access-group inBux in ip access-list extended inAdmins permit tcp host 10.0.0.2 host 10.0.0.97 eq telnet permit ip host 10.0.0.2 10.21.0.0 0.0.0.255 reflect permTraf ip access-list extended inBux evaluate permTraf Результат тот же - связи между адмПК и сетью 1С нет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "ACL: две сети, базовая настройка"	+/–
	Сообщение от Aneye (ok) on 08-Дек-15, 13:17
	Меня смущает у вас вот такая конструкция: ip access-group inAdmins in ip access-group outAdmins out Задача то вроде базовая. Один ACL у вас на вход, на интерфейсе Public. Наверное, что то вроде: permit tcp host ADMIN_IP host ROUTER_IP eq telnet - это к роутеру permit ip host ADMIN_IP 10.21.0.0 0.0.0.255 - это от вашей машины к 1С-сети Другой ACL на вход со стороны сети 1С: permit ip 10.21.0.0 0.0.0.255 host ADMIN_PC deny ip 10.21.0.0 0.0.0.255 10.0.0.0 0.0.0.255 permit ip any any Собственно, вроде все.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "ACL: две сети, базовая настройка"	+/–
	Сообщение от stakado (ok) on 08-Дек-15, 13:53
	> permit ip 10.21.0.0 0.0.0.255 host ADMIN_PC Вот эта строка разрешит ходить любым пакетам из сети 1С к адмПК, так? Мне бы этого не хотелось. Хочеца, чтобы были разрешены лишь обратные пакеты из сети 1С к адмПК - в тех сессиях, которые были инициированы адмПК. Т.е. я не хочу выпускать какой-либо трафик из сети 1С, кроме того, который был инициирован адмПК. > Меня смущает у вас вот такая конструкция: > ip access-group inAdmins in > ip access-group outAdmins out В варианте А пакеты ходят, проверено. При этом Ваш вариант является модификацией моего варианта А, а он мне не нравится. Хочется сделать через reflex. Но Ваш вариант мне не нравится не только потому, что он сделан не через reflex, но и потому что не ограничен трафик идущий из сети 1С к адмПК - для этого описал указанное Вами на циске и проверил - трафик и вправду ходит. Ещё варианты? :)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "ACL: две сети, базовая настройка"	+/–
	Сообщение от Aneye (ok) on 08-Дек-15, 14:06
	Так у вас задача в таком случае не ограничить доступ, а поиграться с reflex-ACL - а это разные задачи. :) Чем вам не нравиться вариант с permit tcp 1C_NET host ADMIN_PC established ?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "ACL: две сети, базовая настройка"	+/–
	Сообщение от stakado (ok) on 08-Дек-15, 14:10
	> Так у вас задача в таком случае не ограничить доступ, а поиграться > с reflex-ACL - а это разные задачи. :) > Чем вам не нравиться вариант с > permit tcp 1C_NET host ADMIN_PC established ? Не нравится тем, что трафик ограничен лишь tcp-протоколом. Мне же хочется больше - и icmp и, возможно, udp. Играться с reflex ACL прямой задачи не ставлю, но мне кажется, что именно reflex и решит мою задачу. И в первом посте писал, но повторю: если есть варианты решения лучше/правильнее - предлагайте! Мне хочется знать больше...
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "ACL: две сети, базовая настройка"	+/–
	Сообщение от ShyLion (ok) on 08-Дек-15, 15:47
	>> Так у вас задача в таком случае не ограничить доступ, а поиграться >> с reflex-ACL - а это разные задачи. :) >> Чем вам не нравиться вариант с >> permit tcp 1C_NET host ADMIN_PC established ? > Не нравится тем, что трафик ограничен лишь tcp-протоколом. Мне же хочется больше > - и icmp и, возможно, udp. > Играться с reflex ACL прямой задачи не ставлю, но мне кажется, что > именно reflex и решит мою задачу. > И в первом посте писал, но повторю: если есть варианты решения лучше/правильнее > - предлагайте! Мне хочется знать больше... Лепить фаервол из свича мягко говоря не айс.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "ACL: две сети, базовая настройка"	+/–
	Сообщение от Aneye (ok) on 08-Дек-15, 17:03
	Если вы хотите знать больше, начините с прочтения о том, в чем разница в работе TCP и UDP, к какому уровню модели OSI относиться ICMP. Тогда, возможно, у вас отпадет необходимость выдумывать какие-то странные конструкции, о которым мы здесь с вами говорим. Если вы разрешаете соединение типа established - к вам снаружи пройдут только те пакеты, которые инициированы вами изнутри. И это могут быть только TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты изнутри к вам не пройдут, пока вы явно это не разрешите (либо не разрешите весь ip).  Упоминания ICMP в ваших ACL я вообще не увидел.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "ACL: две сети, базовая настройка"	+/–
	Сообщение от stakado (ok) on 08-Дек-15, 17:19
	> Если вы хотите знать больше, начините с прочтения о том, в чем > разница в работе TCP и UDP, к какому уровню модели OSI > относиться ICMP. Йошкин ты кот!.. Простите, эмоции. Почему каждый умник считает своим долгом напомнить про модель OSI, но не удосуживается прочитать сообщение полностью?! Впрочем, рассуждать о различиях udp, tcp, icmp не станем... > Если вы разрешаете соединение типа established - к вам снаружи пройдут только > те пакеты, которые инициированы вами изнутри. И это могут быть только > TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты > изнутри к вам не пройдут, пока вы явно это не разрешите > (либо не разрешите весь ip). Именно! Раз Вы не читаете мои сообщения, я цитаты из них приведу (первое сообщение, про вариант А): "Так работает! Но мне не нравится то, что доступ от АдмПк к сети 1С будет лишь по протоколу tcp - из-за ограничений established." Вариант настройки extended acl меня _именно_ поэтому и не устраивает. >Упоминания ICMP в ваших ACL я вообще не увидел. Первое сообщение, про вариант А (ip access-list extended outAdmins): permit icmp 10.21.0.0 0.0.0.255 host 10.0.0.2 echo-reply > Тогда, возможно, у вас отпадет необходимость выдумывать какие-то странные > конструкции, о которым мы здесь с вами говорим. Эти какие-то странные конструкции носят название reflexive acl и должны решать описанную мною проблему. Ну нет у меня ни циски AS, ни циски фаервола (хотя может AS это и есть фаервол) - потому я пытаюсь реализовать свои потребности на том, что есть. А именно на Catalyst 3560X. В целом тема уже загадилась - можете писать тут что угодно, я создам отдельную тему про reflexive acl. А жаль, потому как reflex acl, возможно, не единственное и не лучшее решение описанной задачи.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "ACL: две сети, базовая настройка"	+/–
	Сообщение от stakado (ok) on 08-Дек-15, 17:19
	> Лепить фаервол из свича мягко говоря не айс. Другого оборудования у меня нет. Да и полноценный фаервол мне не нужен, лишь разделить сети да дать доступ админскому ПК ко всем сетям.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "ACL: две сети, базовая настройка"	+/–
	Сообщение от Aneye (ok) on 08-Дек-15, 17:37
	Да вы так не переживайте. :) Я не пойму, почему вы ограничены только протоколом TCP-то? Вам что мешает сделать полный доступ от АдминПК до Сети1С? Вы established вешаете на вход со стороны сети 1С, а полный доступ вы вешаете на вход с Public. Все. Со стороны 1С к вам ничего не пройдет, потому что единственное, что разрешено - это established. Я просто никак не пойму, что вы "рефлексить" то собираетесь с помощью reflex-ALC?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "ACL: две сети, базовая настройка"	+/–
	Сообщение от ShyLion (ok) on 09-Дек-15, 07:23
	>> Лепить фаервол из свича мягко говоря не айс. > Другого оборудования у меня нет. Да и полноценный фаервол мне не нужен, > лишь разделить сети да дать доступ админскому ПК ко всем сетям. Ты дуешь на воду. Рефлексируй целиком IP, от админской сети куда надо, и все. Если на каждый чих в аксес лист добавлять строчки, кончится TCAM, который на таких железках не сильно большой. Там всего порядка тысячи записей допускается. Любой портскан может испортить тебе жизнь. Тебе оно надо?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема