PDA

Показать полную графическую версию : [решено] firewall между vlan <Cisco ACL>


Страниц : 1 2 [3] 4

kim-aa
27-11-2008, 18:45
ip access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255

permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255

permit ip host 172.16.1.1 network 172.10.254.0 0.0.0.255

deny any

Aleksey Potapov
27-11-2008, 20:39
access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
deny any


Предпоследнее правило было мною удалено такак я перевёл ISA сервер из FE0 обратно в влан 101

Но это набор правил применительно к влан 101
а влан102?
Как я понял, то мне необходимо добавит след. правило
access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
Или я не прав?

Сложно мне понять технологию работы ACl на циско....можете более детально описать её работу?

Вопрос - как мне настроить логгинг?Сколько не лазил - везде фигурирует внешний сервер?Разве циска на себе логи не умеет держать?
2-ой вопрос - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?

kim-aa
28-11-2008, 10:00
Лучше не найдете

http://www.infanata.org/2006/08/08/programma_setevojj_akademii_cisco_ccna_1_i_2_vspomogatelnoe_rukovodstvo.html

Aleksey Potapov
28-11-2008, 10:06
книжка то естьу меня - настольная)

kim-aa
28-11-2008, 11:16
книжка то естьу меня - настольная) »

Ну так выделите пол-дня, прочтите главу посвященную ACL


2) Вопрос - как мне настроить логгинг?Сколько не лазил - везде фигурирует внешний сервер?Разве циска на себе логи не умеет держать?
2-ой вопрос - что делает команда ip source route?И почему циска рекомендует отключить данный параметр? »

Толку от логов на железяке. Куда их там складывать?

3) ip source route

В стеке TCP/IP некоторые протоколы включают поля с указанием опций принудительного (требуемого) маршрута.
(обычно это служебные типа ICMP )

no ip source route
заставляет Cisco игнорировать все эти требования, даже если она может их выполнить.

Aleksey Potapov
28-11-2008, 13:10
У меня получается вот так.

interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan_101_vlan_102_in in
ip access-list extended vlan_103_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan_102_vlan_101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan_101_vlan_102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan_102_vlan_101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_internet
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!

kim-aa
28-11-2008, 13:47
Все верно.

Небольшое замечание по поводу применения правила
ip access-list extended vlan103_internet

По сути вы им ограничиваете ОТВЕТЫ серверов клиентам.

Более грамотно сначала ограничить инициирующие запросы клиентов к серверам,
а составленное вами правило оставить как есть, т.е. оно ужесточает ограничения.

Однако основным ограничением должно быть ограничение на вход на 103 интерфейсе.
Мы его уже расматривали

вы его даже сами приводили

ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

Aleksey Potapov
28-11-2008, 13:55
ТОЕСТЬ
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan102_in in
ip access-list extended vlan103_vlan101_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan102_vlan101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan103_internet in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan101_vlan102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan102_vlan101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_vlan101_internet
remark allow dns traffic from Vlan103 to NSOF DNS
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!
ip access-list extended vlan101_vlan103_internet in
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
remark alow internet traffic from Gateway NSOFISA01 to Vlan 103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

kim-aa
28-11-2008, 14:03
Вроде все верно.

Aleksey Potapov
28-11-2008, 14:14
Как залью и проверю - отпишу.

Aleksey Potapov
28-11-2008, 15:35
Вопрос ещё возник...У меня же 1811 циска
Вычитал на сайте
USB 2.0 Ports on Cisco 1811 and 1812


Integrated USB ports can be configured to work with optional USB token for off-platform storage of VPN credentials or for deployment of configuration stored on USB Flash devices.

Возможно ли их задействовать для передачи данных (логи) на USB внешний жётский диск?

Aleksey Potapov
28-11-2008, 17:05
Вот какой конфиг после того как я залил с правилами.
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-group vlan101 in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-group vlan102 in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server

!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!




Итог - не могу выйти в интернет из Vlan 101 ТОЧНО.Остальные не проверял - времени не хватило....
На рабочих машинах шлюзом у меня указана циска.
Куда рыть?
подскажите пожалуйста.


PS создал конфиг с одним аутом - отлично работает.
Вот он
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq 80 172.10.254.0 0.0.0.255
permit tcp any eq 443 172.10.254.0 0.0.0.255
permit tcp any eq 25 172.10.254.0 0.0.0.255
permit tcp any eq 110 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
deny ip any any
!



Вопрос по этому конфигу - можно ли как-то в нём сразу ограничить доступ в интрнет ?(Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п.))

Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так?

kim-aa
28-11-2008, 22:48
Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так? »

Слушайте, действительно так и должно быть.
Совсем склероз замучал.
У вас клиенты когда через ISA ходят, порт прокси В браузере указывают? 8080 либо 3128?
Если "Да", то реальный ответный трафик будет
isa tcp 8080 -> 172.10.254.0 0.0.0.255

А входящий трафик будет соответсвенно
172.10.254.0 0.0.0.255 -> isa tcp 8080

====
Если же в браузерах прокси не указывается, то ИСА работает либо фаерволом, либо прозрачным прокси,
и запрос клиента будет:
172.10.254.0 0.0.0.255 -> mail.ru tcp 80

ответ, соответственно зеркален наоборот и кроме any ничего не подойдет.
===
Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п »

Разбор http строки это уже дело не фаервола 4 уровня, а либо прокси ,либо фаервола 7-го уровня.
===

кстати, вместо ip в acl можно указывать именна, но только в SDM
Среда автоматом переведет имя в IP
будет подобная запись

ip access-list extended to_Aton
remark 172.23.0.0 and 192.168.0.0 ->Aton
remark SDM_ACL Category=2
remark www.aton-line.ru:443
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq 443
remark www.aton-line.ru:80
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq www

Aleksey Potapov
29-11-2008, 08:27
вот как раз для vlan101 - клиенты хходят через прокси......с авторизацией - для безопастности сети.
А вот из остальных Влан не получится использоват вэб прокси - так как там приходящие и уходящие клиенты - с ноутами в основном....
Теперь понятно...


!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!


Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

------------
ТОесть разбор данного протокола возможен к примеру на cisco PIX?(устройств работающих на 7-ом уровне модели OSI?)
------------

kim-aa
29-11-2008, 19:12
ТОесть разбор данного протокола возможен к примеру на cisco PIX?(устройств работающих на 7-ом уровне модели OSI?) »

Да. Но проще и дешевле на Squid.
Вобще процесс разбора проще на прокси серверах, но увы они не универсальны.

Универсальные же устройства, типа фаерволов 7-го уровня дороги и не так функциональны.

Aleksey Potapov
30-11-2008, 10:41
Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

kim-aa
30-11-2008, 21:14
Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server .... »

1) Кого и куда не пускает?
2) как вы ACL к интерфейсам прикрепили приведите.

Aleksey Potapov
01-12-2008, 09:07
1 - в интернет не пускает.
2 - ip access-group vlan101 in

kim-aa
01-12-2008, 09:13
1) Кого не пускает?
2) out - правила есть?

Aleksey Potapov
01-12-2008, 09:16
клиента из подсети 172.10.1.0




© OSzone.net 2001-2012