URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9656
[ Назад ]

Исходное сообщение
"Познание IOS-а или порядок прохождения покетов throw black box"
Отправлено tashiki , 24-Янв-06 12:33

     Доброго времени суток. Не мудрствуя лукаво опишу сложившуюся ситуацию и  собственно вопрос.
     Итак имеется ровтер циськи (эксперимент проводился и на Cisco 800 SOHO Cisco 1700, Cisco 1800) с IOS-ом 12.x (дело именно в архитектуре black box-а под названием IOS).
     Делаем ак:
Router(config)#access-list 104 deny icmp 0.0.0.0 255.255.255.255 10.0.1.0 0.0.0.255 8 0
Router(config)#access-list 104 permit icmp any any
     Поднимаем loopback0 (ip=10.0.1.1/24) и ставим на него ак лист 104.
Router(config-if)#ip access-g 104 in
(хочу заметить что в данном акл-е запрещаются ping request-ы c DA=10.0.1.0/24 , однако можно использовать стандартный акл с запретом всего трафа)
     Поднимаем eth0 (fa0) c ипом скажем 192.168.1.1/24, линкуем станцию с ипом 192.168.1.2/24
   Далее самое интересно - пингуем lo0 (10.0.1.1) с ровтера (extended ping-ом с SA=192.168.1.1) - получаем ожидаемое icmp-сообщение о недоступности заданного узла назначения (не пингуется как и следовало ожидать). Запускаем пинг с рабочей станции (ип=192.168.1.2) - получаем icmp-response (пингуестя).
    Самое отвратительное то, что отследить путь пакетов внутри ровтра не возможно (трафик со станции (с заданными критериями DA=lo0) не попадат на акл loopback0-а)!!!!.Конечно я понимаю, что для достижения заданной цели мну нужно поствить данный акл на eth0 (192.168.1.1) - вопрос не в этом.
    Интересно почему outside-пакеты не попадают на in-acl дальнего интерфейса (то есть loopbacka-f или др. интерфейса not directly connected к источнику трафика).
.....thx for your patience

Содержание

Познание IOS-а или порядок прохождения покетов throw black b...,Nailer, 16:45 , 24-Янв-06
- Познание IOS-а или порядок прохождения покетов throw black b...,tashiki, 16:53 , 24-Янв-06
  - Познание IOS-а или порядок прохождения покетов throw black b...,Nailer, 17:34 , 24-Янв-06

Сообщения в этом обсуждении

"Познание IOS-а или порядок прохождения покетов throw black b..."
Отправлено Nailer , 24-Янв-06 16:45

> Интересно почему outside-пакеты не попадают на in-acl дальнего
>интерфейса (то есть loopbacka-f или др. интерфейса not directly connected к
>источнику трафика).
>
>.....thx for your patience

А почему они должны туда попадать? :-)
in - это то, что попадает на интерфейс снаружи. out - это то, что изнутри выходит наружу. Логика такая у циски.

"Познание IOS-а или порядок прохождения покетов throw black b..."
Отправлено tashiki , 24-Янв-06 16:53

>А почему они должны туда попадать? :-)
>
>in - это то, что попадает на интерфейс снаружи. out - это
>то, что изнутри выходит наружу. Логика такая у циски.
"Снаружи" имеется в виду физически? Если так то why? внутренний трафик с циски (extended ping к примеру) попадает на in акл-а?

"Познание IOS-а или порядок прохождения покетов throw black b..."
Отправлено Nailer , 24-Янв-06 17:34

>>А почему они должны туда попадать? :-)
>>
>>in - это то, что попадает на интерфейс снаружи. out - это
>>то, что изнутри выходит наружу. Логика такая у циски.
>
>"Снаружи" имеется в виду физически? Если так то why? внутренний трафик с
>циски (extended ping к примеру) попадает на in акл-а?
На in - никогда.
На out с интерфейса - попадет.