RouterCT#sh access-list 105
Extended IP access list 105
10 permit tcp host 62.87.178.xxx eq smtp any log (411 matches)
20 permit ip any any (1634100 matches)
mam jeszcze pytanie:
czy taka konstrukcja ACL w kierunku out na int WAN jest poprawna?
chce monitować ile (i gdzie) host 62.87.178.xxx wysyła (SPAMu) po porcie 25 w świat.
bo spotkalem się z taką konstrukcją ACLki (te trafienia mogę podglądnąć w logach)
permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)
pytanie: czemu w kierunku IN dajesz port docelowy smtp? nie powinno być, że port źródłowy ma być smtp (poczta wychodząca z jakiegos IP) tak jak w ACL powyżej?
permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)
pytanie: czemu w kierunku IN dajesz port docelowy smtp? nie powinno być, że port źródłowy ma być smtp (poczta wychodząca z jakiegos IP) tak jak w ACL powyżej?
ACLki sa na tyle elastyczne ,ze można je utawić w IN i OUT. kluczem jest poprawne wstawienie source i destination
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
gryglas pisze:
ACLki sa na tyle elastyczne ,ze można je utawić w IN i OUT. kluczem jest poprawne wstawienie source i destination
no wlasnie o to mi tez chodzi.
na liscie SAPMerow jest moje ip
62.87.xx.xx
i chcialbym na ACL logować gdzie (w sensie do jakiego IP) to moje IP wysyła SPAM (czyli kierunek OUT)
czyli:
OUT
żródło: 62.87.xx.xx
port źródłowy: 25
destination: any
destination port: any
i wtedy ACL
interface FastEthernet0
ip address 85.xx.xx.xx
ip access-group 101 in
ip access-group 103 out
ip nat outside
ip virtual-reassembly
!
access-list 103 permit tcp host 85.xx.xx.xx any eq smtp log
access-list 103 permit ip any any
!
Dec 11 10:00:06.146: %SEC-6-IPACCESSLOGP: list 103 permitted tcp 85.xx.xx.xx(24281) -> 207.210.235.29(25), 1 packet
Dec 11 10:00:50.050: %SEC-6-IPACCESSLOGP: list 103 permitted tcp 85.xx.xx.xx(24286) -> 195.117.254.2(25), 1 packet
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)
czy moje myślenie jest poprawne?
Twój serwer przy wysyłaniu łączy się na dst port 25, z wysokich portów, a nie z src port 25.
Jeśli nie jesteś pewien z jakich portów, to sprawdź netstat-em na serwerze.
Czyli "any eq smtp" jak u Gryglasa.