URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1890
[ Назад ]

Исходное сообщение
"Access Control List"

Отправлено SHAH , 05-Янв-16 15:51 
Здравствуйте уважаемые пользователи форума.
Прошу Вашей помощи.
Задача вот какая, есть ftp сервер к которому нужно обращаться только по  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также надо чтобы FTP шел в интернет, конфигурирую  след.образом:
ip access-list extended for-ftp-server
permit tcp any host 40.0.0.2 eq www
permit tcp any host 40.0.0.2 eq ftp
permit ip host 10.0.0.10 host 40.0.0.2

ip access-group for-ftp-server out

Все работает как нужно, только ftp все ровно в интернет не идет.
https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это нужно реализовать. Заранее благодарен!!! :)


Содержание

Сообщения в этом обсуждении
"Access Control List"
Отправлено reader , 05-Янв-16 18:54 
> Здравствуйте уважаемые пользователи форума.
> Прошу Вашей помощи.
> Задача вот какая, есть ftp сервер к которому нужно обращаться только по
>  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также
> надо чтобы FTP шел в интернет, конфигурирую  след.образом:
> ip access-list extended for-ftp-server
>  permit tcp any host 40.0.0.2 eq www
>  permit tcp any host 40.0.0.2 eq ftp
>  permit ip host 10.0.0.10 host 40.0.0.2

при ftp используется не только ftp, а от режима еще и направления разные, неговоря уже про порты.
> ip access-group for-ftp-server out

а out это в куда?
> Все работает как нужно, только ftp все ровно в интернет не идет.
> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
> нужно реализовать. Заранее благодарен!!! :)


"Access Control List"
Отправлено SHAH , 06-Янв-16 12:17 
>[оверквотинг удален]
>>  permit tcp any host 40.0.0.2 eq ftp
>>  permit ip host 10.0.0.10 host 40.0.0.2
> при ftp используется не только ftp, а от режима еще и направления
> разные, неговоря уже про порты.
>> ip access-group for-ftp-server out
> а out это в куда?
>> Все работает как нужно, только ftp все ровно в интернет не идет.
>> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
>> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
>> нужно реализовать. Заранее благодарен!!! :)

Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать ACL что запретить обращение по какому-либо  протоколу и при этом не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это нужно реализовать помогите!!!
Буду очень благодарен!!! :)  


"Access Control List"
Отправлено crash , 06-Янв-16 19:15 
> Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать
> ACL что запретить обращение по какому-либо  протоколу и при этом
> не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это
> нужно реализовать помогите!!!
> Буду очень благодарен!!! :)

запрещаете доступ из локальных сетей и разрешаете со всех остальных.


"Access Control List"
Отправлено vigogne , 10-Янв-16 20:46 
>[оверквотинг удален]
> надо чтобы FTP шел в интернет, конфигурирую  след.образом:
> ip access-list extended for-ftp-server
>  permit tcp any host 40.0.0.2 eq www
>  permit tcp any host 40.0.0.2 eq ftp
>  permit ip host 10.0.0.10 host 40.0.0.2
> ip access-group for-ftp-server out
> Все работает как нужно, только ftp все ровно в интернет не идет.
> https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!
> Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это
> нужно реализовать. Заранее благодарен!!! :)

Ну давайте разберем Ваш пример:
Читаем слева-направо:
1 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 80 порт (www)
2 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 21 порт (ftp)
3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2
4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any)

Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group for-ftp-server in)
Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут излишне.

Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp..., там довольно просто описаны ACL для самых распространенных сервисов.


"Access Control List"
Отправлено SHAH , 12-Янв-16 13:27 
>[оверквотинг удален]
> (ftp)
> 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2
> 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any)
> Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group
> for-ftp-server in)
> Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд
> ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут
> излишне.
> Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp...,
> там довольно просто описаны ACL для самых распространенных сервисов.

Да, это я уже понял, что я в не правильном порядке написал правила.
Спасибо. Знал о ней давно, но к сожалению в ней ответ на свой вопрос не нашел. Хотя конечно стоит её еще раз причитать.
Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы делали?
Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!
P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень долго сижу в ACL!
Заранее благодарен!!!


"Access Control List"
Отправлено vigogne , 12-Янв-16 20:50 
>[оверквотинг удален]
> Да, это я уже понял, что я в не правильном порядке написал
> правила.
> Спасибо. Знал о ней давно, но к сожалению в ней ответ на
> свой вопрос не нашел. Хотя конечно стоит её еще раз причитать.
> Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы
> делали?
> Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!
> P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень
> долго сижу в ACL!
> Заранее благодарен!!!

Да чем же Вам поможет моя "простынка" правил? У меня же и структура сети совершенно другая, и набор сервисов и решаемые задачи... Так Вы еще больше запутаетесь :)
сделайте проще, создайте всего два правила:
1 permit tcp any any established #чтобы пропускать пакеты уже установленных соединений
99 deny ip any any log-input #чтобы увидеть в консоли, какие пакеты отбрасываются

вешаете его на внешний интерфейс в направлении in и, пытаясь подключиться к нужным сервисам с внешних хостов, смотрите вывод лога (не забываем про ter mon)

Помогу разобрать лог. Вываливаться будет примерно такие строчки:
Jan 12 19:47:42.649: %SEC-6-IPACCESSLOGP: list acl-in-brd denied tcp 10.77.12.3(44351) (Port-channel1.170 001f.12c6.907a) -> 10.45.10.3(8080), 2 packets

1. Время и дата события
2. Тип лог-сообщения
3. Название ACL (после слова list)
4. Результат обработки пакета. В данном случае - отброшен (denied)
5. Протокол - tcp
6. Адрес и порт, с которого пришел пакет
7. Интерфейс (имя и его mac-адрес)
8. Адрес и порт хоста, на который был отправлен пакет
9. Количество обработанных пакетов.

Теперь, чтобы дать доступ к сервису, висящему на порту 8080 на сервере 10.45.10.3, нужно добавить в ACL правило:
2 permit tcp any host 10.45.10.3 eq 8080

Надеюсь, что помог Вам, тем более, как Вы говорите, давно сидите с ACL, уже должны на лету схватывать ;)


"Access Control List"
Отправлено ShyLion , 11-Янв-16 07:14 
> Здравствуйте уважаемые пользователи форума.
> Прошу Вашей помощи.
> Задача вот какая, есть ftp сервер к которому нужно обращаться только по
>  ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также
> надо чтобы FTP шел в интернет, конфигурирую  след.образом:

FTP за НАТом?
Если из внешних сетей (интернета) нужно чтобы был доступ к FTP сервису, то какой практический смысл запрещать к нему доступ изнутри? Если прямо очень хочется, то в таком случае гораздо проще сделать это средствами самого FTP сервера/сервиса.
Чтобы полноценно фильтровать FTP, фаервол должен уметь заглядывать "внутрь" FTP протокола, потому что этот протокол является сложным с точки зрения регулирования доступа - он для передачи данных (в том числе листинга файлов) использует отдельное сетевое соединение номером порта 20 с одной стороны и случайно (в общем случае) выбраным номером порта с другой стороны, причем направление соединения зависит о выбранного клиентом режима работы, коих в первоначальной версии протокола два, а в более поздних добавили еще варианты.
По этому - простым аксес-листом не получится полностью отделаться, останутся варианты когда ничего не заработает. Выход - использовать ALG, т.е. либо ip inspect либо Zone Based Firewall. ZBF самый свежий метод.

Пример (бездумно не копировать, а понять смысл):


ip inspect log drop-pkt
zone security LAN
zone security INET

object-group service good_ICMP
icmp echo
icmp echo-reply
icmp parameter-problem
icmp unreachable
icmp source-quench
icmp traceroute
icmp time-exceeded

ip access-list extended zbfc_ICMP
permit object-group good_ICMP any any

class-map type inspect match-any zbfc_ICMP
match access-group name zbfc_ICMP

class-map type inspect match-any zbfc_FTP
match protocol ftp

class-map type inspect match-any zbfc_INET_IN_SELF
match protocol ssh
match protocol ntp

policy-map type inspect zbfp_INET2LAN
class zbfc_FTP
  inspect
class class-default
  drop

policy-map type inspect zbfp_INET2SELF
class zbfc_INET_IN_SELF
  pass
class zbfc_ICMP
  pass

class-map type inspect match-any zbfc_DROP_OUT
match protocol bittorrent
match protocol pptp
match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
match protocol ftp
match protocol tcp
match protocol udp
match protocol icmp

policy-map type inspect zbfp_LAN2INET
class zbfc_DROP_OUT
  drop log
class zbfc_INSPECT_OUT
  inspect
class class-default
  pass

zone-pair security zp_INET2LAN source INET destination LAN
service-policy type inspect zbfp_INET2LAN

zone-pair security zp_INET2SELF source INET destination self
service-policy type inspect zbfp_INET2SELF

zone-pair security zp_LAN2INET source LAN destination INET
service-policy type inspect zbfp_LAN2INET

interface Vlan1
  ip nat inside
  zone-member security LAN

interface Dial1
  ip nat outside
  zone-member security INET

ip nat inside static tcp 10.ftp.srv.ip 21 interface Dial1 21