Inspection of Router-Generated Traffic and more...

[sebu]

Ostatnio przy labowaniu wyszlo troche problemow z okielznaniem ruchu generowanego przez sam router pelniacy role firewalla. Gaph nakierowal mnie na niezly dokument http://tinyurl.com/zw6r7 ktory stwierdza ze inspekcja ruchu (CBAC) z i do samego routera dziala w IOSach od wersji 12.3(14)T. To rozwiazuje moj jeden problem, dzieki Gaph!

Pozostale dotycza ograniczenia ruchu generowanego przez router za pomoca ACLek.

Przykladowy scenariusz:
mam router z 1 interfejsem eth0 i robie:
access-list 10 deny any any log
int eth0
ip access-group 10 out

robie ping X.X.X.X, telnet X.X.X.X z routera albo zapytanie dns-owe przez ten interface i ruch przechodzi nie zwazywszy na ACLke, testowalem to na sofcie 12.2


Drugi dylemat jest zwiazany tez z ACLkami, tyle ze tymi identyfikujacymi ruch interesujacy dla zestawienia VPN-a site-to-site. Testowalem z ruchem do sysloga. Ustawilem logowanie do hosta po drugiej stronie tunelu, ACLki odpowiednie aby zawieraly ruch z routera do hosta i generowane logi nie trigerowaly zestawienia tunelu. Gdy stworzylem interfejs loopback i ustawilem logging source-interface na loopback, tunel zaczal sie zestawiac. Widac ze problem byl z wykryciem ruchu z routera przez ACLke? Dodam ze gdy ruch przechodzi przez router normalnie to jest przez 2 interfejsy z inside do outside to wszystko dziala normalnie a problem jest tylko z ruchem generowanym przez sam router.

Gdyby ktos mnie mogl nakierowac na odpowiednie dokumenty lub nieco rozjasnic od ktorej wersji takie ficzery sa wspierane bede wdzieczny

[pjeter]

Przykladowy scenariusz:
mam router z 1 interfejsem eth0 i robie:
access-list 10 deny any any log
int eth0
ip access-group 10 out

robie ping X.X.X.X, telnet X.X.X.X z routera albo zapytanie dns-owe przez ten interface i ruch przechodzi nie zwazywszy na ACLke, testowalem to na sofcie 12.2
Drugi dylemat jest zwiazany tez z ACLkami, tyle ze tymi identyfikujacymi ruch interesujacy dla zestawienia VPN-a site-to-site.

Jest to w pelni standartowe, oczekiwane zachowanie - ruch wygenerowany przez interfejs fizyczny routera nie jest tematem mechanizmow security output. Natomiast link ktory przytoczyles to feature - czyli jakas dodatkowa funkcjonalnosc.
Kolejnym przykladem moze byc np. reflexive ACLs - ruch wychodzacy przez ACL OUT wygenerowany przez router nie tworzy wpisu w ACL IN - nie lapie sie w "reflect" - w tym np. wypadku trzeba przepuscic ruch powracajacy w ACLu na IN recznie, tzn. statycznymi permitami.

Jesli chcesz koniecznie zeby pakiety generowane przez router byly traktowane jak te ktore sa przeroutowywane, jest na to sposob:

Kod: Zaznacz cały

route-map LOCAL
 match ip address <ACL_z_ruchem_ktory_ma_byc_traktowany_jako_tranzytowy>
 set interface lo0
!
ip local policy route-map LOCAL

Powyzsze spowoduje, ze ruch wygenerowany lokalnie pasujacy do ACLa bedzie przeroutowany przez lo0 i traktowany jako tranzytowy - wiec bedzie sie lapal we wszystkie ACLe po drodze.

PJ

[sebu]

tak cos czulem ze da sie pokombinowac z route-map-em ale poki co jeszcze sie z tym nie zaprzyjaznilem... pobawie sie, dzieki pjeter za sugestie!