nie loguje mi trafien w ACL

Wiadomość

stentor · #1

witam!
na int WAN ustawiłem ACl w kierunku OUT zeby logować gdzie mi IP sieje po porcie smtp.

interface FastEthernet0/0
 description WAN
 bandwidth 10240
 ip address 62.87.xx.xx 255.255.255.xx
 ip access-group 101 in
 ip access-group 105 out

trafienia w ACL są

Kod: Zaznacz cały

RouterCT#sh access-list 105
Extended IP access list 105
    10 permit tcp host 62.87.178.xxx eq smtp any log (411 matches)
    20 permit ip any any (1634100 matches)

ale nie pokazuje mi ich w logach

Kod: Zaznacz cały

RouterCT#sh logg | include list 105
RouterCT# PUSTO

logowane trafienia w ACL 101 na tym samym int (w kierunku IN) sa pokazywane w logach.

stentor · #2

mam jeszcze pytanie:
czy taka konstrukcja ACL w kierunku out na int WAN jest poprawna?
chce monitować ile (i gdzie) host 62.87.178.xxx wysyła (SPAMu) po porcie 25 w świat.
bo spotkalem się z taką konstrukcją ACLki (te trafienia mogę podglądnąć w logach)

Kod: Zaznacz cały

permit tcp host 62.87.178.xxx any eq smtp log

no ale powyżej to on mi monituje hosta wysylajacego do portu docelowego 25, wiec to chyba nie ma sensu.
jaka jest róznica miedzy moja ACL ponizej?

Kod: Zaznacz cały

permit tcp host 62.87.178.xxx eq smtp any log

gryglas · #3

a zrób tak :

Kod: Zaznacz cały

interface F0/1
ip nat inside
ip access-group 102 in
!
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq 25 log

i zobacz co teraz widać w logach.

stentor · #4

mam taką ACL na int DMZ w kierunku IN i mi loguje

Kod: Zaznacz cały

permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)

pytanie: czemu w kierunku IN dajesz port docelowy smtp? nie powinno być, że port źródłowy ma być smtp (poczta wychodząca z jakiegos IP) tak jak w ACL powyżej?

gryglas · #5

stentor pisze:mam taką ACL na int DMZ w kierunku IN i mi loguje
Kod: Zaznacz cały
permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)
pytanie: czemu w kierunku IN dajesz port docelowy smtp? nie powinno być, że port źródłowy ma być smtp (poczta wychodząca z jakiegos IP) tak jak w ACL powyżej?

ACLki sa na tyle elastyczne ,ze można je utawić w IN i OUT. kluczem jest poprawne wstawienie source i destination

stentor · #6

gryglas pisze: ACLki sa na tyle elastyczne ,ze można je utawić w IN i OUT. kluczem jest poprawne wstawienie source i destination

no wlasnie o to mi tez chodzi.
na liscie SAPMerow jest moje ip
62.87.xx.xx
i chcialbym na ACL logować gdzie (w sensie do jakiego IP) to moje IP wysyła SPAM (czyli kierunek OUT)
czyli:
OUT
żródło: 62.87.xx.xx
port źródłowy: 25
destination: any
destination port: any
i wtedy ACL

Kod: Zaznacz cały

permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)

czy moje myślenie jest poprawne?

gryglas · #7

moje ulubione powiedzenie: u mnie działa

Kod: Zaznacz cały

interface FastEthernet0
 ip address 85.xx.xx.xx
 ip access-group 101 in
 ip access-group 103 out
 ip nat outside
 ip virtual-reassembly
!
access-list 103 permit tcp host 85.xx.xx.xx any eq smtp log
access-list 103 permit ip any any
!
Dec 11 10:00:06.146: %SEC-6-IPACCESSLOGP: list 103 permitted tcp 85.xx.xx.xx(24281) -> 207.210.235.29(25), 1 packet 
Dec 11 10:00:50.050: %SEC-6-IPACCESSLOGP: list 103 permitted tcp 85.xx.xx.xx(24286) -> 195.117.254.2(25), 1 packet

krystians · #8

stentor pisze:
OUT
żródło: 62.87.xx.xx
port źródłowy: 25
destination: any
destination port: any
i wtedy ACL
Kod: Zaznacz cały
permit tcp host 62.87.xx.xx eq smtp any log (136409 matches)
czy moje myślenie jest poprawne?

Twój serwer przy wysyłaniu łączy się na dst port 25, z wysokich portów, a nie z src port 25.
Jeśli nie jesteś pewien z jakich portów, to sprawdź netstat-em na serwerze.
Czyli "any eq smtp" jak u Gryglasa.