The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Странная проблема с ACL, похожа на глюк"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Странная проблема с ACL, похожа на глюк" 
Сообщение от Plugin emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 10:13  (MSK)
есть ACL на вход:
deny   tcp any any eq 443
deny   udp any any eq 443
permit tcp any pp.pp.pp.pp 0.0.0.15 established
permit tcp any any eq domain
permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
permit tcp any host zz.zz.zz.zz eq smtp
permit ip 10.хх.хх.0 0.0.255.255 10.уу.уу.0 0.0.0.255 (есть VPN, доступ его учасникам к моей сетке)
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
deny   icmp any any
permit tcp any any eq ftp
permit tcp any any eq ftp-data
deny   ip any any

проблема в следующем, не работает ftp при включенном листе на интерфейсе... уже перепробовал все, не выходит каменный цветок. ACL out практически все разрешает, да и отключать его пробовал.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Странная проблема с ACL, похожа на глюк" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 10:33  (MSK)
скорее всего вы используете passive ftp....
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Странная проблема с ACL, похожа на глюк" 
Сообщение от Plugin emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 10:50  (MSK)
>скорее всего вы используете passive ftp....

и такой и такой пробовал... не работает.

и вообще странные глюки в последнее время, например при выставление параметра log на исходящий ACL, блокируется доступ для ip-адресов динамически выдаваемых NAT-ом, а статические замечательныи образом продолжают работать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Странная проблема с ACL, похожа на глюк" 
Сообщение от dddima emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 11:32  (MSK)
мой совет поставить сниффер и посмотреть по какие используются протоколы и по каким портам работают (решал подобные проблемы с транзитом почты через прокси)


  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Странная проблема с ACL, похожа на глюк" 
Сообщение от Plugin emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 12:16  (MSK)
>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>


TCP 20/21 порты, собственно говоря они открыты, что же он хочет...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Странная проблема с ACL, похожа на глюк" 
Сообщение от ArmCrack emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июн-03, 17:12  (MSK)
>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>
>
>
>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...

-------------------------------------------------------------------------

А у меня в Cisco 2610 стоит

access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 100 permit gre any any
access-list 100 deny   tcp any any eq 1433
access-list 100 deny   udp any any eq 1433
access-list 100 deny   tcp any any eq 1434
access-list 100 deny   udp any any eq 1434
access-list 100 deny   udp any any eq netbios-ns
access-list 100 deny   udp any any eq netbios-dgm
access-list 100 deny   udp any any eq netbios-ss
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any any eq ftp-data
access-list 100 deny   tcp any any eq ftp
access-list 100 deny   tcp any any eq ftp-data
access-list 100 deny   tcp any any eq ftp
access-list 100 permit tcp any host 192.168.1.1 eq ftp-data
access-list 100 permit tcp any host 192.168.1.1 eq ftp
access-list 100 permit tcp any host 192.168.1.2 eq ftp-data
access-list 100 permit tcp any host 192.168.1.2 eq ftp
access-list 100 deny   ip any any

и из всех IP адресов FTP порт открыт.
Подскажите, пожалуйста, как можно закрыть FTP порты.
Заранее благодарю.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Странная проблема с ACL, похожа на глюк" 
Сообщение от Plugin emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Июн-03, 08:22  (MSK)
>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>
>>
>>
>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>
>-------------------------------------------------------------------------
>
>А у меня в Cisco 2610 стоит
>
>access-list 100 permit tcp any any
>access-list 100 permit udp any any
>access-list 100 permit icmp any any
>access-list 100 permit gre any any
>access-list 100 deny   tcp any any eq 1433
>access-list 100 deny   udp any any eq 1433
>access-list 100 deny   tcp any any eq 1434
>access-list 100 deny   udp any any eq 1434
>access-list 100 deny   udp any any eq netbios-ns
>access-list 100 deny   udp any any eq netbios-dgm
>access-list 100 deny   udp any any eq netbios-ss
>access-list 100 deny   tcp any any eq 445
>access-list 100 deny   tcp any any eq ftp-data
>access-list 100 deny   tcp any any eq ftp
>access-list 100 deny   tcp any any eq ftp-data
>access-list 100 deny   tcp any any eq ftp
>access-list 100 permit tcp any host 192.168.1.1 eq ftp-data
>access-list 100 permit tcp any host 192.168.1.1 eq ftp
>access-list 100 permit tcp any host 192.168.1.2 eq ftp-data
>access-list 100 permit tcp any host 192.168.1.2 eq ftp
>access-list 100 deny   ip any any
>
>и из всех IP адресов FTP порт открыт.
>Подскажите, пожалуйста, как можно закрыть FTP порты.
>Заранее благодарю.

У тебя вообще все открыто, дальше вот этого куска

access-list 100 permit tcp any any
access-list 100 permit udp any any
access-list 100 permit icmp any any
access-list 100 permit gre any any

у тебя правила не обрабатываются.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Странная проблема с ACL, похожа на глюк" 
Сообщение от LS emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Июн-03, 03:43  (MSK)
>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>
>
>
>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...


http://slacksite.com/other/ftp.html

там все на пальцах об'яснено, если rfc читать не хочется

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Странная проблема с ACL, похожа на глюк" 
Сообщение от Plugin emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Июн-03, 09:17  (MSK)
>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>
>>
>>
>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>
>
>http://slacksite.com/other/ftp.html
>
>там все на пальцах об'яснено, если rfc читать не хочется

порты больше 1024 надо разрешать в пассивном режиме, вроде в активном 20/21 вполне достаточно.

К тому же
permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
разрешает все одному из необходимых фтп, а он тоже не работает....

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Странная проблема с ACL, похожа на глюк" 
Сообщение от LS Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 06-Июн-03, 12:44  (MSK)
>>>>мой совет поставить сниффер и посмотреть по какие используются протоколы и по
>>>>каким портам работают (решал подобные проблемы с транзитом почты через прокси)
>>>>
>>>
>>>
>>>TCP 20/21 порты, собственно говоря они открыты, что же он хочет...
>>
>>
>>http://slacksite.com/other/ftp.html
>>
>>там все на пальцах об'яснено, если rfc читать не хочется
>
>порты больше 1024 надо разрешать в пассивном режиме, вроде в активном 20/21
>вполне достаточно.
>
>К тому же
>permit ip dd.dd.dd.dd 0.0.0.63 any (полный доступ дружественной сетке)
>разрешает все одному из необходимых фтп, а он тоже не работает....

фтп-серверов или фтп-клиентов? должно быть для нормальной работы твоего ACL


[клиент_из_dd.dd.dd.dd_0.0.0.63] -> [ACL   cisco   ] -> [ftp_сервер]


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру