Mam problem ze SWITCHem HPE 5406Rzl
Nie wiem czemu nie mogę połączyć się do 10.100.10.3 z 10.200.200.200 kiedy ACL10_in podpięta jest do 10 vlanu ?
Wygląda mi to na stateless fw?
Widzę opcję ip access-group ACL10_in (in, out vlan-in), robiłem różne kombinacje in, out, vlan-in ale nic nie działa.
Chcę mieć tak że router od strony zewnętrznej (VPN i Outside) ma aclki które ograniczają ruch z zewnątrz a od strony switcha(lanu) wszystko permit
znowu na switchu odwrotnie od strony użytkowników aclki, które ograniczają ruch a od strony routera wszystko permit.
Testowałem połączenie z 10.200.200.200 do 10.100.10.3 na porcie 3389
jeśli mam aclkę:
nie działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
deny ip any any
vlan 10
ip access-group ACL10_in in
działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
permit tcp host 10.100.10.3 eq 3389 host 10.200.200.200
deny ip any any
vlan 10
ip access-group ACL10_in in
Ale nie uśmiecha mi się dublowanie wszystkich aclek z routera na vlany i z poszczególnych vlanów dla ruchu powrotnego.
[url=https://ibb.co/cC27rJM][/url]
Stateless fw na switchu Aruba 5406Rzl2
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: Stateless fw na switchu Aruba 5406Rzl2
inside to the router, outside from the host 
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: Stateless fw na switchu Aruba 5406Rzl2
Nie rozumiem ?
-
judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Stateless fw na switchu Aruba 5406Rzl2
Cześć,
Nie wiem jak jest na Arubie, ale jeśli ten "vlan 10" w konfiguracji na Arubie jest odpowiednikiem SVI w Cisco, to wygląda na to, że dobrze kombinujesz - ACL są mechanizmem "stateless", czyli filtrują po prostu pakiety nie patrząc na to, czy jest to ruch powracający czy nie. Nie możesz więc oczekiwać, że jeśli interfejs przepuszcza ruch w jedną stronę, to automatycznie dozwoli na ruch powracający.
W tej sytuacji ruch z 10.200.200.200 idąc do serwera 10.100.10.3 normalnie wychodzi przez interfejs vlan 10 i trafia do serwera. Potem ruch powracający z 10.100.10.3 idąc do 10.200.200.200 wchodzi (tu jest ten "inside", o którym pisał kolega wcześniej) na interfejs vlan 10 i tutaj podlega filtrowaniu przez ACL - nie dziwota więc, że jest blokowany, skoro w pierwszej wersji ACL'ki, opisanej jako "nie działa", dozwalasz tylko i wyłącznie na ruch z 10.100.10.3 do 10.100.20.5 - nic innego się nie przeciśnie.
Druga wersja ACL'ki, opisana jako "działa", jest ok ponieważ zawiera wpis dozwalający na ruch z serwera 10.100.10.3 z portu 3389 do hosta 10.200.200.200, czyli dokładnie taki, jaki jest ten ruch powracający.
Nie wiem jak jest na Arubie, ale na Cisco zamiast tego wpisu:
robi się zwykle wpis uniwersalny:
który dla ruchu tcp daje funkcjonalność podobną do "statefull packet inspection", tzn. przepuszcza dowolny ruch z nawiązanych sesji TCP (przepuszcza tcp z flagami ACK i FIN, ale nie z samym SYN). Poszukaj - może coś podobnego jest i na Arubie.
Pozdrawiam!
JD
Nie wiem jak jest na Arubie, ale jeśli ten "vlan 10" w konfiguracji na Arubie jest odpowiednikiem SVI w Cisco, to wygląda na to, że dobrze kombinujesz - ACL są mechanizmem "stateless", czyli filtrują po prostu pakiety nie patrząc na to, czy jest to ruch powracający czy nie. Nie możesz więc oczekiwać, że jeśli interfejs przepuszcza ruch w jedną stronę, to automatycznie dozwoli na ruch powracający.
W tej sytuacji ruch z 10.200.200.200 idąc do serwera 10.100.10.3 normalnie wychodzi przez interfejs vlan 10 i trafia do serwera. Potem ruch powracający z 10.100.10.3 idąc do 10.200.200.200 wchodzi (tu jest ten "inside", o którym pisał kolega wcześniej) na interfejs vlan 10 i tutaj podlega filtrowaniu przez ACL - nie dziwota więc, że jest blokowany, skoro w pierwszej wersji ACL'ki, opisanej jako "nie działa", dozwalasz tylko i wyłącznie na ruch z 10.100.10.3 do 10.100.20.5 - nic innego się nie przeciśnie.
Druga wersja ACL'ki, opisana jako "działa", jest ok ponieważ zawiera wpis dozwalający na ruch z serwera 10.100.10.3 z portu 3389 do hosta 10.200.200.200, czyli dokładnie taki, jaki jest ten ruch powracający.
Nie wiem jak jest na Arubie, ale na Cisco zamiast tego wpisu:
Kod: Zaznacz cały
permit tcp host 10.100.10.3 eq 3389 host 10.200.200.200Kod: Zaznacz cały
permit tcp any any establishedPozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: Stateless fw na switchu Aruba 5406Rzl2
O dzięki Judge Dredd
o to jest to. Jutro sprawdzę czy to zadziała.
A jak przepuścić powrotne udp ?
Kod: Zaznacz cały
permit tcp any any establishedA jak przepuścić powrotne udp ?
-
judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Stateless fw na switchu Aruba 5406Rzl2
Niestety z udp już tak się nie da. Ten mechanizm "established" imituje statefull firewalla dzięki właściwościom protokołu TCP, a dokładnie rozróżnianiu flag, które są używane w nagłówkach TCP. Na tej podstawie orientuje się, który segment jest nawiązaniem połączenia, a który odpowiedzią czy kontynuacją sesji. W UDP nie ma takich rzeczy - tam każdy datagram leci niezależnie i nie ma żadnych parametrów pozwalających orientować się czy jest to ruch powracający. Pytanie tylko jak dużo ruchu UDP przebiega po tej sieci? Z powodzeniem stosowałem sporo podobnych ACL i praktycznie ruch UDP to był tylko DNS, NTP, SNMP do konkretnych serwerów - to można zawrzeć w ACL'kach explicite. Kwestia czy coś więcej Ci będzie potrzebne.
Acha - jakbyś też chciał pingować urządzenia w tych sieciach, ale nie chciałbyś żeby one pingowały świat zewnętrzny to dzięki właściwościom ICMP też to możesz zrobić. Podstawowa konfiguracja dla Cisco jest taka:
Taki wpis przepuszcza odpowiedzi na pinga, więc gdy spingujesz coś w danej sieci, to odpowiedź do Ciebie wróci, natomiast pakiet ICMP z żądaniem odpowiedzi z danej sieci nie wyjdzie. W ICMP jest jeszcze sporo innych typów pakietów - warto poczytać czy może w Twoim przypadku chciałbyś również przepuścić jakieś inne.
Niestety ACL'ki to mechanizm dość podstawowy - nie zastąpi firewalla, ale przy odrobinie gimnastyki i z tym da się żyć, trzeba tylko uwzględnić wszystkie warunki - np. piszesz, żeby od strony użytkowników wszystko było zablokowane. OK - możesz tak chcieć, ale co z ruchem np. do kontrolerów domeny? Czy innym ruchem "technicznym" systemów operacyjnych? O tym też trzeba pamiętać.
Pozdrawiam!
JD
Acha - jakbyś też chciał pingować urządzenia w tych sieciach, ale nie chciałbyś żeby one pingowały świat zewnętrzny to dzięki właściwościom ICMP też to możesz zrobić. Podstawowa konfiguracja dla Cisco jest taka:
Kod: Zaznacz cały
permit icmp any any echo-replyNiestety ACL'ki to mechanizm dość podstawowy - nie zastąpi firewalla, ale przy odrobinie gimnastyki i z tym da się żyć, trzeba tylko uwzględnić wszystkie warunki - np. piszesz, żeby od strony użytkowników wszystko było zablokowane. OK - możesz tak chcieć, ale co z ruchem np. do kontrolerów domeny? Czy innym ruchem "technicznym" systemów operacyjnych? O tym też trzeba pamiętać.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)