Войти

Показать полную графическую версию : ACL <и MS ISA>


Aleksey Potapov
10-12-2008, 09:58
Привет всем.


Трабл таков - на том самом роутере 1811, где создавали правила ACL мне кажется что правила не срабатывают
так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п.
тема в которой рассматривались ACL
http://forum.oszone.net/thread-124095.html

нынешний конф для ACL
interface Vlan103
description Vlan3-MSOF all
ip address 172.10.3.3 255.255.255.0
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq www 172.10.3.0 0.0.0.255
permit tcp any eq 443 172.10.3.0 0.0.0.255
permit tcp any eq smtp 172.10.3.0 0.0.0.255
permit tcp any eq pop3 172.10.3.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.3.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.3.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.3.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.3.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.3.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.3.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.3.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.3.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.3.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.3.0 0.0.0.255
deny ip any any
!

kim-aa
11-12-2008, 13:19
так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »

1) Как именно показывает, логи покажите?
2) В настоящее время ICQ-сервера принимают подключения по следующим портам:
- icq 5190
- http 80
- https 443

и естественно, Cisco не сможет как фаервол 4-го уровня отловить последние две комбинации

Aleksey Potapov
11-12-2008, 13:29
дык, в том то и дело) что идут по протоколу 5190 и другим.
пример ниже.

http://s42.radikal.ru/i095/0812/7c/ef64fbf5ac3b.jpg

kim-aa
11-12-2008, 15:13
1) Адрес ISA Какой

2)
так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »
Павильно показывает.
Правилом OUT вы ограничили ответы, а не запросы.
Запросы Cisco ни как не ограничивает.

Aleksey Potapov
11-12-2008, 15:16
1. 172.10.1.7



2- понятно - тоесть просто на этот интерфейс если что-то и запросят по протоколу 5190 то просто не получат?правильно?

kim-aa
11-12-2008, 22:13
5190 то просто не получат?правильно? »
Да

Кстати ,можно использовать ISA как средство обучения.

- сформировать входное правило на интерфейсе VLAN103

типа

ip access-list extended vlan103_in
deny tcp any any eq 5190
deny udp any any eq 5190
permit any
deny any

и будете строчки вверху добавлять на каждый писк ISA

Aleksey Potapov
11-12-2008, 22:23
а может проще
ip access-list extended vlan103 in
permit tcp 172.10.3.0 0.0.0.255 eq www any
permit и.т.п
deny ip any any

kim-aa
11-12-2008, 22:34
Мой вариант выгоден когда весь трафик неизвестен и блокируется постенно (обучение, строчку написал - проверил работоспособность)

Ваш вариант - чистовой , т. е. когда точно известны все типы разрешенного трафика и нужно "загасить" остальной.

Aleksey Potapov
11-12-2008, 22:45
ну вот мой вариант мне и нужен....




© OSzone.net 2001-2012