URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15034
[ Назад ]

Исходное сообщение
"я чтото непронимаю про ACL"
Отправлено Аноним , 09-Дек-07 18:33

имеем роутер 2821, который смотрит одним интерфейсом в интернет через один из VLAN. Через него надо подключиться к h323 шлюзу на адресе XXX.XXX.XXX.XXX
чтобы никто "чужой" не соединялся пишем
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
interface GigabitEthernet0/0.3
description VOIP-INET
encapsulation dot1Q 154
ip address YYY.YYY.YYY.YYY 255.255.255.252
ip access-group VOIP in
ip access-list extended VOIP
permit udp host XXX.XXX.XXX.XXX any
permit tcp host XXX.XXX.XXX.XXX any

соединение есть, звука нет(udp пакеты не проходят).
а если добавить
permit udp any any
все работает.
Непонятно: ACL не пропускает RTP (UDP) пакеты, идуще _точно_ с адреса XXX.XXX.XXX.XXX access-list не пропускает. Или я чтото не так делаю?
IOS 12.4(12)

Содержание

я чтото непронимаю про ACL,Vaso Petrovich, 21:11 , 09-Дек-07
- я чтото непронимаю про ACL,an, 23:13 , 09-Дек-07
  - я чтото непронимаю про ACL,Vaso Petrovich, 23:56 , 09-Дек-07
    - я чтото непронимаю про ACL,an, 00:20 , 10-Дек-07
      - я чтото непронимаю про ACL,weris, 08:43 , 10-Дек-07
        
        я чтото непронимаю про ACL,an, 00:21 , 11-Дек-07
        
        я чтото непронимаю про ACL,an, 18:47 , 11-Дек-07

Сообщения в этом обсуждении

"я чтото непронимаю про ACL"
Отправлено Vaso Petrovich , 09-Дек-07 21:11

1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную русским переводом), а не детские книжки для детей дошкольного возраста...
2. Не возлагать серьезную работу на затыкалку портов...

"я чтото непронимаю про ACL"
Отправлено an , 09-Дек-07 23:13

>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную
>русским переводом), а не детские книжки для детей дошкольного возраста...
все что можно прочитано, и еще больше пощупано. ответа на вопрос - почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской, хотя я ясно вроде сказал CISCO что делвть - у меня нет. не скрою, образования по CISCO у меня никакого, и прочитал я возможно не все. потому собственно и помощи прошу.
>2. Не возлагать серьезную работу на затыкалку портов...
невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле :)

"я чтото непронимаю про ACL"
Отправлено Vaso Petrovich , 09-Дек-07 23:56

>>1. Почитать про Voip, техническую документацию(крайне желательно в оригинале, т.е. не испорченную
>>русским переводом), а не детские книжки для детей дошкольного возраста...
>
>все что можно прочитано, и еще больше пощупано. ответа на вопрос -
>почему пакеты которые я ВИЖУ tcpdumpом на противоположной стороне блокируются циской,
>хотя я ясно вроде сказал CISCO что делвть - у
>меня нет. не скрою, образования по CISCO у меня никакого, и
>прочитал я возможно не все. потому собственно и помощи прошу.
про кошку я вообще не говорил... в адрессах вы точно уверены? сдается мне что хадшей идет по одному адресу а rtp по другому... в этом и вся трабла
>>2. Не возлагать серьезную работу на затыкалку портов...
>
>невполне понятно на что еще ЛУЧШЕЕ можно возложить задачу защиты от постороннего
>вмешательства кроме файрвола. И главное - зачем. Или циска неумеет файрволом
>быть? тогда за что я столько денег заплатил? IP-АТС самсунг дешевле
>:)
вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix, хотя он такой же дерьмовый как и сами циски... а не ломают его потому что его почти нету нигде...

"я чтото непронимаю про ACL"
Отправлено an , 10-Дек-07 00:20

>мне что хадшей идет по одному адресу а rtp по другому...
>в этом и вся трабла
надо было так и написать:)
это былобы слишком просто, но дело не в этом.
Другого адеса просто НЕТ. на ADSL-доступе дают только один адрес. как правило.
>
>вот именно фаирвол, а не затылкалка портов... у циски фаирвол называется pix,
>хотя он такой же дерьмовый как и сами циски... а не
>ломают его потому что его почти нету нигде...
а в чем принцыпиальная разница? Ну понятно, ACL сильно упрощенная версия, но суть то примерно таже. Да, наверное можно его сломать, хотя их столько понатыкано, если это было так просто,давно сломали бы из чиста спортивного интереса. Но для этого надо сначала насканировать, что на этом адресе циска стоит. И неплохобы номер и иос определить. Что по идее непросто, если она не отвечает ни на какие пакеты кроме пакетов с МОЕГО адреса.
вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL. ощущение такое что он берется не из поля источника UDP пакета.

"я чтото непронимаю про ACL"
Отправлено weris , 10-Дек-07 08:43

>[оверквотинг удален]
>суть то примерно таже. Да, наверное можно его сломать, хотя их
>столько понатыкано, если это было так просто,давно сломали бы из чиста
>спортивного интереса. Но для этого надо сначала насканировать, что на этом
>адресе циска стоит. И неплохобы номер и иос определить. Что по
>идее непросто, если она не отвечает ни на какие пакеты кроме
>пакетов с МОЕГО адреса.
>
>вопрос думаю в другом - КАКОЙ адрес берется для сранения в ACL.
>ощущение такое что он берется не из поля источника UDP пакета.
>
поставь в АКЛ логирование.
и в логе будет видно какой адрес пакеты откидываются.

"я чтото непронимаю про ACL"
Отправлено an , 11-Дек-07 00:21

>поставь в АКЛ логирование.
>и в логе будет видно какой адрес пакеты откидываются.
спасибо,сам недогадался. Поставил. И все заработало как надо. То есть если на строчке permit включить логирование - пропусает и останавливает те пакеты, которые надо. Это багофича такая? IOS 12.4(12)

"я чтото непронимаю про ACL"
Отправлено an , 11-Дек-07 18:47

> Это багофича такая? IOS 12.4(12)
истинно так. Изучение показало: при соединениях ip2ip через ACL in интерфейса на который приходит RTP проходят зачемто и пакеты уходящего(на другой интерфес!) RTP потока. Причем если дописать "log" в строку permit, все встает на место и работает как надо. Поди догадайся....