dziwne zachowanie access-listy

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

dziwne zachowanie access-listy

#1

#1 Post autor: raul »

Witam

Jest sobie Pix 515e przygotowałem translacje z sieci wewnętrznej do zewnętrznej

Kod: Zaznacz cały

nat (inside) 1 128.0.0.0 255.255.252.0
global (outside) 1 interface
następnie chcę puścić ruch na porcie 80 z inside tylko dla uprzywilejowanych hostów

robię accesslistę

Kod: Zaznacz cały

access-list 100 permit tcp 128.0.0.190 any eq 80
access-list 100 permit tcp 128.0.0.192 any eq 80
access-list 100 deny tcp any any
oczywiście przypisuje ją do interfejsu inside

Kod: Zaznacz cały

access-group 100 in interface inside
i nie wiem czemu problem jest z przepuszczeniem ruchu z tych hostów?

jak zmienię w access-listcie typ protokołu na ip wtedy ruch jest przepuszczany.

Co może być grane ?

pozdr
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

A co dokladnie nie dziala, bo dla przykladu do otwarcia strony www musza wiedziec dokad skierowac wywolanie, a jak wolaja po nazwie i nie ma wewnetrznego serwerka nazw to musza poslac wywolanie na zewnatrz. Ot jedna z mozliwosci.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

#3

#3 Post autor: raul »

więc tak na pixie mam przygotowany routing statyczny

Kod: Zaznacz cały

route outside 0.0.0.0 0.0.0.0 172.16.1.1 10
do interfejsu outside podłączony router na którym jest polpak

dodam że połączenie z sieci inside do internetu działa do momentu uruchomienia access-list, a dokładnie gdy chcę filtrować na interfejsie wewnetrznym ruch na poszczególne porty.

myślałem że jest to związne z translacją PAT zmieniłem na NAT na pulę adresów i to samo.
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#4

#4 Post autor: Seba »

Z tego co piszesz to i routing i translacje sa ok, bo przeciez jak nie masz ACL, albo puszczasz cale IP to dziala.
Moja sugestia z poprzedniego posta miala na celu zasugerowanie, ze moze potrzebujesz puscic w ACL cos wiecej niz tylko TCP port 80. Dobrym przykladem jest tu wspomniany przeze mnie DNS.
Jak odpalisz logowanie, czy to na konsole, czy bufor, czy syslog, to bedziesz widzial co jest blokowane.
Ostatnio zmieniony 11 lis 2008, 12:43 przez Seba, łącznie zmieniany 1 raz.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#5

#5 Post autor: grzes1981 »

raul pisze:więc tak na pixie mam przygotowany routing statyczny

Kod: Zaznacz cały

route outside 0.0.0.0 0.0.0.0 172.16.1.1 10
do interfejsu outside podłączony router na którym jest polpak

dodam że połączenie z sieci inside do internetu działa do momentu uruchomienia access-list, a dokładnie gdy chcę filtrować na interfejsie wewnetrznym ruch na poszczególne porty.

myślałem że jest to związne z translacją PAT zmieniłem na NAT na pulę adresów i to samo.
Tak jak Sebu powiedział prawdopodobnie brakuje dopuszczenia zapytań DNS
spróbuj tak

Kod: Zaznacz cały

access-list 100 permit tcp 128.0.0.190 any eq 80
access-list 100 permit tcp 128.0.0.192 any eq 80
access-list 100 permit udp 128.0.0.190 any eq dns
access-list 100 permit udp 128.0.0.192 any eq dns
access-list 100 deny tcp any any
i daj znać czy działa
Na górę
Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

#6

#6 Post autor: raul »

ok spróbuje zaraz przepuścić jeszcze połączenie z DNS'em
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#7

#7 Post autor: kktm »

Seba pewnie ma racje.
Wejdz na jeden z pc i wpisz

Kod: Zaznacz cały

telnet 212.77.100.101 80
dziala ?
tzn zestawilo sie polaczenie?
Ostatnio zmieniony 11 lis 2008, 12:43 przez kktm, łącznie zmieniany 1 raz.
"Trust no one"
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#8

#8 Post autor: Seba »

grzes1981 pisze:
Tak jak Sebu powiedział ...
Seba ≠ Sebu 8)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#9

#9 Post autor: grzes1981 »

Seba pisze:
grzes1981 pisze:
Tak jak Sebu powiedział ...
Seba ≠ Sebu 8)
UPS Literówka :oops:
Wybacz
Na górę
Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

#10

#10 Post autor: raul »

dzięki koledzy

pewnie że działa pod warunkiem przepuszczenia ruchu dns

pozdrowienia
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --
Na górę
ODPOWIEDZ

Wróć do „Security”