URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12679
[ Назад ]

Исходное сообщение
"ACL на внешнем интерфейсе, как разрешить ответные пакеты"
Отправлено Илья , 05-Фев-07 19:02

Офис на 50 человек. Cisco 1721 eth0 как основной шлюз. В Cisco eth1 втыкается dsl модем, на котором поднимается PPPoE сессия.
Вопрос. В статьях по безопасности роутеров Cisco пишется, что хорошо ограничивать in пакеты на внещнем интерфейсе. Однако этого добиться у меня никак не получается - любое правило кроме
access-list 101 permit icmp any any
access-list 101 permit udp any any
приводит к блокированию доступа к www, http и т.п.
Подозреваю, что дело в NAT, т.е. ответы приходят на случайные порты (т.к. работает NAT). Как открыть только эти порты?
Было бы совсем здорово почитать кусок рабочего конфига...

Содержание

ACL на внешнем интерфейсе, как разрешить ответные пакеты,ruff, 19:15 , 05-Фев-07
- ACL на внешнем интерфейсе, как разрешить ответные пакеты,Hawk, 16:47 , 06-Фев-07
  - ACL на внешнем интерфейсе, как разрешить ответные пакеты,ruff, 17:45 , 06-Фев-07

Сообщения в этом обсуждении

"ACL на внешнем интерфейсе, как разрешить ответные пакеты"
Отправлено ruff , 05-Фев-07 19:15

>Офис на 50 человек. Cisco 1721 eth0 как основной шлюз. В Cisco
>eth1 втыкается dsl модем, на котором поднимается PPPoE сессия.
>
>Вопрос. В статьях по безопасности роутеров Cisco пишется, что хорошо ограничивать in
>пакеты на внещнем интерфейсе. Однако этого добиться у меня никак не
>получается - любое правило кроме
>access-list 101 permit icmp any any
>access-list 101 permit udp any any
>приводит к блокированию доступа к www, http и т.п.
>
>Подозреваю, что дело в NAT, т.е. ответы приходят на случайные порты (т.к.
>работает NAT). Как открыть только эти порты?
>
>Было бы совсем здорово почитать кусок рабочего конфига...
можно использовать CBAC
ip inspect name gen-ips tcp
ip inspect name gen-ips udp
!
interface fa1
ip address xx.xx.xx.xx 255.255.255.252
ip access-group fw in
ip nat outside
ip inspect gen-ips out
ip virtual-reassembly
!
ip access-list extended fw
permit icmp any any ttl-exceeded
permit icmp any any echo-reply
permit icmp any host xx.xx.xx.xx echo
deny ip any any log

"ACL на внешнем интерфейсе, как разрешить ответные пакеты"
Отправлено Hawk , 06-Фев-07 16:47

А где в твоем access листе разрешения на http? Кроме icmp у тебя все остальное запрещено.
>!
>ip access-list extended fw
> permit icmp any any ttl-exceeded
> permit icmp any any echo-reply
> permit icmp any host xx.xx.xx.xx echo
> deny ip any any log

"ACL на внешнем интерфейсе, как разрешить ответные пакеты"
Отправлено ruff , 06-Фев-07 17:45

>А где в твоем access листе разрешения на http? Кроме icmp у
>тебя все остальное запрещено.
>>!
>>ip access-list extended fw
>> permit icmp any any ttl-exceeded
>> permit icmp any any echo-reply
>> permit icmp any host xx.xx.xx.xx echo
>> deny ip any any log
остальное (ответный пакеты) будут динамически разрешаться CBAC-ом.
если надо явно разрешить входящие пакеты, не инициированные изнутри - на них явно добавляется строка в акл с секвенсом меньше deny (как например с icmp в примере)