The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не идет Трассировка. Не понятно почему."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не идет Трассировка. Не понятно почему."  +/
Сообщение от alexsterh email(ok) on 15-Окт-09, 07:09 
Значится проблемка следующая: есть ГИГА-сеть (образно) связана OSPF`ом.
Область одна. Настраиваю access-list`ы. Для полной безопасности (в статье https://www.opennet.ru/docs/RUS/cisco_sec/ так сказано) прописал для ICMP:
! Allow fragmentation needed messages (type 3 code 4)
permit icmp any any packet-too-big
! Allow outbound ping and MS style traceroute (type 0)
permit icmp any any echo-reply
! Uncomment to allow ping to the inside net (type 8)
permit icmp any any echo
! Uncomment to allow traceroute !
permit icmp any any ttl-exceeded
Все бы ничего, но traceroute с КИСКИ идет до узла 192.168.1.1 и спотыкается. В логах записи следующие:
*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in permitted icmp 192.168.1.3 -> 192.168.1.4 (8/0), 1 packet
*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in permitted icmp 192.168.1.1 -> 192.168.1.4 (8/0), 1 packet
*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in denied icmp 192.168.0.15 -> 192.168.1.4 (3/3), 1 packet
т.е. в нижней строке почему-то запрет идет. 1-ый ВОПРОС - почему. И 2-ой - что означает запись в скобках "(3/3)".
Заранее ВСЕХ благодарю за ответы.

P.S.
С компьютера трассировка проходит нормально.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не идет Трассировка. Не понятно почему."  +/
Сообщение от maxim (??) on 15-Окт-09, 09:02 
>т.е. в нижней строке почему-то запрет идет. 1-ый ВОПРОС - почему. И
>2-ой - что означает запись в скобках "(3/3)".

День добрый. Как видно из лога у вас закрыт icmp type 3 code 3 - те destination unreachable/port unreachable, соответственно нужно открыть permit icmp any any 3 3 Почему проходит с компьютера - можно предположить что там у вас windows tracert, работа которого отличается от работы traceroute cisco и nix  (в первом случае только icmp используется, во втором по умолчанию еще и udp)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не идет Трассировка. Не понятно почему."  +/
Сообщение от alexsterh email(ok) on 15-Окт-09, 09:54 
>День добрый. Как видно из лога у вас закрыт icmp type 3
>code 3 - те destination unreachable/port unreachable, соответственно нужно открыть permit
>icmp any any 3 3 Почему проходит с компьютера - можно
>предположить что там у вас windows tracert, работа которого отличается от
>работы traceroute cisco и nix  (в первом случае только icmp
>используется, во втором по умолчанию еще и udp)

Спасибо ВАМ за ответ.
Про то, что (3/3) - это тип 3 код 3 ICMP я оч-е-е-нь далеко догадывался.
Если не затруднит, правильно ли я понял: icmp any any 3 3 - в моем конфиге будет
вроде permit icmp any any unreachable.
Если ошибаюсь - поправьте пожалуйста.
Еще раз Спасибо.

P.S.
Расшифруйте ПЛИЗ "unreachable", что означает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не идет Трассировка. Не понятно почему."  +/
Сообщение от maxim (??) on 15-Окт-09, 10:47 
> Если не затруднит, правильно ли я понял: icmp any any 3
>3 - в моем конфиге будет
> вроде permit icmp any any unreachable.
>Если ошибаюсь - поправьте пожалуйста.
>Еще раз Спасибо.

permit icmp any any unreachable откроет все коды для 3го типа icmp Это уж как хотите - все открывать или только нужный код

>
>P.S.
> Расшифруйте ПЛИЗ "unreachable", что означает

"недостижимый" означает что отправленный udp пакет уткнулся в закрытый udp порт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не идет Трассировка. Не понятно почему."  +/
Сообщение от alexsterh email(ok) on 19-Окт-09, 05:53 
Спасибо ВАМ maxim за ответ на мой может быть глупый вопрос.
>
>permit icmp any any unreachable откроет все коды для 3го типа icmp
>Это уж как хотите - все открывать или только нужный код
>

Я прислушался  к Вашим советам - сделал так permit icmp any any port-unreachable, который как раз имеет вид permit icmp any any 3 3. А остальные дыры считаю не нужными.
Спасибо еще раз за советы и ответы на мои вопросы.
Считаю тему можно закрыть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру