Ostatnio przy labowaniu wyszlo troche problemow z okielznaniem ruchu generowanego przez sam router pelniacy role firewalla. Gaph nakierowal mnie na niezly dokument http://tinyurl.com/zw6r7 ktory stwierdza ze inspekcja ruchu (CBAC) z i do samego routera dziala w IOSach od wersji 12.3(14)T. To rozwiazuje moj jeden problem, dzieki Gaph!
Pozostale dotycza ograniczenia ruchu generowanego przez router za pomoca ACLek.
Przykladowy scenariusz:
mam router z 1 interfejsem eth0 i robie:
access-list 10 deny any any log
int eth0
ip access-group 10 out
robie ping X.X.X.X, telnet X.X.X.X z routera albo zapytanie dns-owe przez ten interface i ruch przechodzi nie zwazywszy na ACLke, testowalem to na sofcie 12.2
Drugi dylemat jest zwiazany tez z ACLkami, tyle ze tymi identyfikujacymi ruch interesujacy dla zestawienia VPN-a site-to-site. Testowalem z ruchem do sysloga. Ustawilem logowanie do hosta po drugiej stronie tunelu, ACLki odpowiednie aby zawieraly ruch z routera do hosta i generowane logi nie trigerowaly zestawienia tunelu. Gdy stworzylem interfejs loopback i ustawilem logging source-interface na loopback, tunel zaczal sie zestawiac. Widac ze problem byl z wykryciem ruchu z routera przez ACLke? Dodam ze gdy ruch przechodzi przez router normalnie to jest przez 2 interfejsy z inside do outside to wszystko dziala normalnie a problem jest tylko z ruchem generowanym przez sam router.
Gdyby ktos mnie mogl nakierowac na odpowiednie dokumenty lub nieco rozjasnic od ktorej wersji takie ficzery sa wspierane bede wdzieczny
Inspection of Router-Generated Traffic and more...
- sebu
- CCIE / Instruktor CNAP
- Posty: 843
- Rejestracja: 03 cze 2005, 02:08
- Lokalizacja: Warsaw, Poland
- Kontakt:
Inspection of Router-Generated Traffic and more...
Jesteś ambitnym inżynierem i szukasz ciekawych projektów? Zapraszamy do współpracy w ramach NetFormers (stałej i projektowej). Info na PRV.
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Re: Inspection of Router-Generated Traffic and more...
Jest to w pelni standartowe, oczekiwane zachowanie - ruch wygenerowany przez interfejs fizyczny routera nie jest tematem mechanizmow security output. Natomiast link ktory przytoczyles to feature - czyli jakas dodatkowa funkcjonalnosc.sebu pisze: Przykladowy scenariusz:
mam router z 1 interfejsem eth0 i robie:
access-list 10 deny any any log
int eth0
ip access-group 10 out
robie ping X.X.X.X, telnet X.X.X.X z routera albo zapytanie dns-owe przez ten interface i ruch przechodzi nie zwazywszy na ACLke, testowalem to na sofcie 12.2
Drugi dylemat jest zwiazany tez z ACLkami, tyle ze tymi identyfikujacymi ruch interesujacy dla zestawienia VPN-a site-to-site.
Kolejnym przykladem moze byc np. reflexive ACLs - ruch wychodzacy przez ACL OUT wygenerowany przez router nie tworzy wpisu w ACL IN - nie lapie sie w "reflect" - w tym np. wypadku trzeba przepuscic ruch powracajacy w ACLu na IN recznie, tzn. statycznymi permitami.
Jesli chcesz koniecznie zeby pakiety generowane przez router byly traktowane jak te ktore sa przeroutowywane, jest na to sposob:
Kod: Zaznacz cały
route-map LOCAL
match ip address <ACL_z_ruchem_ktory_ma_byc_traktowany_jako_tranzytowy>
set interface lo0
!
ip local policy route-map LOCAL
PJ
- sebu
- CCIE / Instruktor CNAP
- Posty: 843
- Rejestracja: 03 cze 2005, 02:08
- Lokalizacja: Warsaw, Poland
- Kontakt:
tak cos czulem ze da sie pokombinowac z route-map-em ale poki co jeszcze sie z tym nie zaprzyjaznilem... pobawie sie, dzieki pjeter za sugestie!
Jesteś ambitnym inżynierem i szukasz ciekawych projektów? Zapraszamy do współpracy w ramach NetFormers (stałej i projektowej). Info na PRV.
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak