ACL

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Witam,
niby banalny problem ale po wpisaniu :
access-list 101 permit tcp any any eq 443
po sh log :
006501: Mar 14 09:56:11.789 PCTime: %SEC-6-IPACCESSLOGP: list 101 denied tcp 23.21.161.112(443) -> IP_Publiczne_Moje(49898), 1 packet

i nie działa mi https, ssl itd ...

gdzie może tkwić błąd ?

Dziękuje z góry za pomoc

Link do wypowiedzi

Tomasz Zalewski Szukam nowych
zleceń, kilkanaście
lat doświadczenia w
IT.

Temat: ACL

Leszek R.:
Witam,
niby banalny problem ale po wpisaniu :
access-list 101 permit tcp any any eq 443
po sh log :
006501: Mar 14 09:56:11.789 PCTime: %SEC-6-IPACCESSLOGP: list 101 denied tcp 23.21.161.112(443) -> IP_Publiczne_Moje(49898), 1 packet

i nie działa mi https, ssl itd ...

gdzie może tkwić błąd ?

Dziękuje z góry za pomoc

a ip access-group ... na odpowiednim interfejsie ustawiles ?

Link do wypowiedzi

Marcin Krajewski Starszy Specjalista
ds. Integracji
Systemów

Temat: ACL

I w odpowiednim kierunku ?

https://supportforums.cisco.com/thread/167357Marcin Krajewski edytował(a) ten post dnia 14.03.12 o godzinie 10:51

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Tomasz Zalewski:

Leszek R.:
Witam,
niby banalny problem ale po wpisaniu :
access-list 101 permit tcp any any eq 443
po sh log :
006501: Mar 14 09:56:11.789 PCTime: %SEC-6-IPACCESSLOGP: list 101 denied tcp 23.21.161.112(443) -> IP_Publiczne_Moje(49898), 1 packet

i nie działa mi https, ssl itd ...

gdzie może tkwić błąd ?

Dziękuje z góry za pomoc

a ip access-group ... na odpowiednim interfejsie ustawiles ?

tak :

interface Serial0/0/0.1 point-to-point
description Polaczenie Polpak-T do Internetu 2Mbit
ip address Ip_WAN Maska
ip access-group 101 in
ip nat outside

a LAN :
interface GigabitEthernet0/0
ip address GW_LAN 255.255.255.0
ip access-group 102 out
ip nat inside

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Marcin Krajewski:
I w odpowiednim kierunku ?

https://supportforums.cisco.com/thread/167357

dla out mam :
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq www any eq www
access-list 102 permit tcp any any eq domain
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any eq pop3 any

chyba ze tu jeszcze na wyjsciu musi byc dla portu 443 ?
access-list 102 permit tcp any any eq 443

tylko ze jak 1 poscie log wskazuje, pakiet odrzuca na poziomie wejscia - 101

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

A pamiętasz że domyślny, niewidoczny wpis na końcu każdej ACL to "deny ip any any"?

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Krzysztof Kania:
A pamiętasz że domyślny, niewidoczny wpis na końcu każdej ACL to "deny ip any any"?

ok i dlatego jest permit ponizej ....
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any eq www any
access-list 101 permit tcp any any eq 443 <---- ten wpis
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq 445
access-list 101 permit tcp any any eq 139
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any eq domain any

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

Leszek R.:

access-list 101 permit tcp any any eq 443 <---- ten wpis

Tylko ten wpis miałby sens dla kierunku OUT do serwera na port 443 a nie od serwera do Ciebie.

Link do wypowiedzi

Tomasz Zalewski Szukam nowych
zleceń, kilkanaście
lat doświadczenia w
IT.

Temat: ACL

Leszek R.:

Krzysztof Kania:
A pamiętasz że domyślny, niewidoczny wpis na końcu każdej ACL to "deny ip any any"?
ok i dlatego jest permit ponizej ....
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any eq www any
access-list 101 permit tcp any any eq 443 <---- ten wpis

> access-list 101 permit tcp any any eq 143

access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq 445
access-list 101 permit tcp any any eq 139
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any eq domain any

No dobra ... ale dlaczego na interfejsie OUT mapujesz ta access liste jako IN ?

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Krzysztof Kania:

Leszek R.:

access-list 101 permit tcp any any eq 443 <---- ten wpis

>

Tylko ten wpis miałby sens dla kierunku OUT do serwera na port 443 a nie od serwera do Ciebie.

czyli dobrze rozumiem ? :
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq www any eq www
access-list 102 permit tcp any any eq domain
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any eq pop3 any
access-list 101 permit tcp any any eq 443 <---- ?

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

Tomasz Zalewski:

No dobra ... ale dlaczego na interfejsie OUT mapujesz ta access liste jako IN ?

Blokuje (niezbyt sprawnie) niechciany ruch na wejściu routera.
IN to kierunek ACL, oznaczenie interfejsu jako OUT ma znaczenie dla NAT'a.

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

Leszek R.:

czyli dobrze rozumiem ? :

Po pierwsze to przejdź na używanie ZBF.

Po drugie jeśli masz ACL na ruch wychodzący to ona "automagicznie" otwiera furtkę dla ruchu wracającego.

Po trzecie ruch zainicjowany z wewnątrz i wracający ma flagę established i po niej można rozpoznawać i wpuszczać ruch który wraca.

Link do wypowiedzi

Tomasz Zalewski Szukam nowych
zleceń, kilkanaście
lat doświadczenia w
IT.

Temat: ACL

Krzysztof Kania:

Tomasz Zalewski:
No dobra ... ale dlaczego na interfejsie OUT mapujesz ta access liste jako IN ?

Blokuje (niezbyt sprawnie) niechciany ruch na wejściu routera.
IN to kierunek ACL, oznaczenie interfejsu jako OUT ma znaczenie dla NAT'a.

No wlasnie a on musi wypuscic ruch https za NAT ... to jest ucieta odpowiedz na polaczenie wychodzace :)
Zerknij na pierwszego posta ... source 443 jest z serwera zewnetrznego a adres powrotny to jego publiczne IP z wysokim portem :)

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Krzysztof Kania:

Leszek R.:
czyli dobrze rozumiem ? :

Po pierwsze to przejdź na używanie ZBF.

Po drugie jeśli masz ACL na ruch wychodzący to ona "automagicznie" otwiera furtkę dla ruchu wracającego.

Po trzecie ruch zainicjowany z wewnątrz i wracający ma flagę established i po niej można rozpoznawać i wpuszczać ruch który wraca.

Ok dzięki ,
co do ZBF - Router którego używam to 1921, pytanie czy IOS go wspiera ? pytanie czy to soft - oddzielny Cisco który sie laczy z Routerem ? sorry za pytania laikowe, ale to moj pierwszy Ciskacz ....

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

Tomasz Zalewski:

No wlasnie a on musi wypuscic ruch https za NAT ... to jest ucieta odpowiedz na polaczenie wychodzace :)

Albo ja nie doczytałem albo Ty. Ja rozumiem że on nie chce niczego wystawiać tylko wpuścić ruch wracający. Więc NAT go nie wzrusza bo translacja dynamiczna utworzyła się po zainicjowaniu ruchu z wewnątrz i ruch wracający wie gdzie ma pójść.

Zerknij na pierwszego posta ... source 443 jest z serwera zewnetrznego a adres powrotny to jego publiczne IP z wysokim portem :)

Tak i zwróciłem na to uwagę oraz wskazałem mu jako rozwiązanie wpuszczanie ruchu z flagą established.

Link do wypowiedzi

Tomasz Zalewski Szukam nowych
zleceń, kilkanaście
lat doświadczenia w
IT.

Temat: ACL

Krzysztof Kania:

Tomasz Zalewski:
No wlasnie a on musi wypuscic ruch https za NAT ... to jest ucieta odpowiedz na polaczenie wychodzace :)

Albo ja nie doczytałem albo Ty. Ja rozumiem że on nie chce niczego wystawiać tylko wpuścić ruch wracający. Więc NAT go nie wzrusza bo translacja dynamiczna utworzyła się po zainicjowaniu ruchu z wewnątrz i ruch wracający wie gdzie ma pójść.

Zerknij na pierwszego posta ... source 443 jest z serwera zewnetrznego a adres powrotny to jego publiczne IP z wysokim portem :)

Tak i zwróciłem na to uwagę oraz wskazałem mu jako rozwiązanie wpuszczanie ruchu z flagą established.

Dokladnie mowi o tym samym ... lista 101 w tej formie na interfejsie OUT jest tutaj zbedna :)

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Krzysztof Kania:

Tomasz Zalewski:
No wlasnie a on musi wypuscic ruch https za NAT ... to jest ucieta odpowiedz na polaczenie wychodzace :)

Albo ja nie doczytałem albo Ty. Ja rozumiem że on nie chce niczego wystawiać tylko wpuścić ruch wracający. Więc NAT go nie wzrusza bo translacja dynamiczna utworzyła się po zainicjowaniu ruchu z wewnątrz i ruch wracający wie gdzie ma pójść.

Router ma byc tak zabezpieczony ze maja tylko dzialac uslugi ktore ja chce zeby chodzily, jak mi ktos mowi : ssl nie dziala - wpuszczam ten ruch i chodzi ...

Zerknij na pierwszego posta ... source 443 jest z serwera zewnetrznego a adres powrotny to jego publiczne IP z wysokim portem :)

no wlasnie i tu bede szczery - do konca nie rozumiem - nie zaskoczylem jeszcze z tymi ACL'kami :)

Tak i zwróciłem na to uwagę oraz wskazałem mu jako rozwiązanie wpuszczanie ruchu z flagą established.

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Tomasz Zalewski:

Krzysztof Kania:

Tomasz Zalewski:
No wlasnie a on musi wypuscic ruch https za NAT ... to jest ucieta odpowiedz na polaczenie wychodzace :)

Albo ja nie doczytałem albo Ty. Ja rozumiem że on nie chce niczego wystawiać tylko wpuścić ruch wracający. Więc NAT go nie wzrusza bo translacja dynamiczna utworzyła się po zainicjowaniu ruchu z wewnątrz i ruch wracający wie gdzie ma pójść.

Zerknij na pierwszego posta ... source 443 jest z serwera zewnetrznego a adres powrotny to jego publiczne IP z wysokim portem :)

Tak i zwróciłem na to uwagę oraz wskazałem mu jako rozwiązanie wpuszczanie ruchu z flagą established.

Dokladnie mowi o tym samym ... lista 101 w tej formie na interfejsie OUT jest tutaj zbedna :)

Lista 101 jest na IN a 102 na out

Link do wypowiedzi

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: ACL

Leszek R.:

co do ZBF - Router którego używam to 1921, pytanie czy IOS go wspiera ? pytanie czy to soft - oddzielny Cisco który sie laczy z Routerem ? sorry za pytania laikowe, ale to moj pierwszy Ciskacz

ZBF to nowe (nowe w sensie że inne niż poprzednie ale dostępne już jakich czas) podejście bazujące na założeniu, że nie interesuje nas pojedynczy interfejs ale strefy (zony) i w jednej strefie (zonie) może być kilka interfejsów a filtracja odbywa się o reguły na styku stref - zone-pair.

ZBF jest w IOSie ale nie pamiętam czy dostępny jest już w BASE czy dopiero w SECURITY. Trzeba by zajrzeć do Feature Navigatora.

Link do wypowiedzi

Leszek R. IT ® Kaczmarek
Electric S.A. -
Hurtownie
Elektrotechniczn...

Temat: ACL

Krzysztof Kania:

Leszek R.:
co do ZBF - Router którego używam to 1921, pytanie czy IOS go wspiera ? pytanie czy to soft - oddzielny Cisco który sie laczy z Routerem ? sorry za pytania laikowe, ale to moj pierwszy Ciskacz

ZBF to nowe (nowe w sensie że inne niż poprzednie ale dostępne już jakich czas) podejście bazujące na założeniu, że nie interesuje nas pojedynczy interfejs ale strefy (zony) i w jednej strefie (zonie) może być kilka interfejsów a filtracja odbywa się o reguły na styku stref - zone-pair.

ZBF jest w IOSie ale nie pamiętam czy dostępny jest już w BASE czy dopiero w SECURITY. Trzeba by zajrzeć do Feature Navigatora.

Ok dzięki za informację :-)

a wracajac do sedna sprawy zeby miec calkowity poglad pokaze jak sie ma IN i OUT w kontekscie min SSL, HTTPS...byc moze tu by byly wskazowki gdzie sa "bledy"

ccess-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any eq www any
access-list 101 permit tcp any range 6000 6063 host 80.50.164.218 range 1433 1434
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq 445
access-list 101 permit tcp any any eq 139
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any eq domain any
access-list 101 permit tcp host 92.43.119.10 eq 587 host IP_WAN
access-list 101 permit tcp host 92.43.119.27 eq pop3 host IP_WAN
access-list 101 permit tcp 91.214.237.0 0.0.0.255 eq 443 host IP_WAN
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 permit udp any eq ntp host 80.50.164.218 eq ntp
access-list 101 permit udp any host 80.50.164.218 eq non500-isakmp
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit udp any eq bootps any eq bootps
access-list 101 permit udp host 194.204.152.34 eq domain any
access-list 101 permit udp host 194.204.152.34 any eq domain
access-list 101 permit udp host 194.204.159.1 eq domain any
access-list 101 permit udp host 194.204.159.1 any eq domain
access-list 101 permit udp any 80.48.66.144 0.0.0.15
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq netbios-ns
access-list 101 permit udp any any eq netbios-dgm
access-list 101 permit gre any any
access-list 101 permit esp any any
access-list 101 deny ip any any log
access-list 101 permit tcp any host IP_WAN eq 443
access-list 102 permit tcp any any eq www
access-list 102 permit tcp any eq www any
access-list 102 permit tcp any eq www any eq www
access-list 102 permit tcp any any eq domain
access-list 102 permit tcp any eq domain any
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any any eq 443
access-list 102 permit tcp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 eq 3389
access-list 102 permit tcp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 eq 139
access-list 102 permit tcp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 eq 445
access-list 102 permit tcp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 range 1433 1434
access-list 102 permit tcp host 92.43.119.10 eq 587 192.168.1.0 0.0.0.255
access-list 102 permit tcp 91.214.237.0 0.0.0.255 eq 443 192.168.1.0 0.0.0.255
access-list 102 permit icmp any any echo-reply
access-list 102 permit udp 192.168.0.0 0.0.1.255 range netbios-ns netbios-dgm 192.168.1.0 0.0.0.255 range netbios-ns netbios-dgm
access-list 102 permit udp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 eq domain
access-list 102 permit udp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255 eq snmp
access-list 102 permit udp host 194.204.152.34 eq domain any
access-list 102 permit udp host 194.204.152.34 any eq domain
access-list 102 permit udp host 194.204.159.1 eq domain any
access-list 102 permit udp host 194.204.159.1 any eq domain
access-list 102 permit udp 192.168.1.0 0.0.0.255 range netbios-ns netbios-dgm host 192.168.1.255 range netbios-ns netbios-dgm
access-list 102 permit udp 192.168.1.0 0.0.0.255 eq bootps 192.168.1.0 0.0.0.255 eq bootpc
access-list 102 permit udp 192.168.1.0 0.0.0.255 host 192.168.1.255 eq netbios-dgm
access-list 102 permit icmp 192.168.0.0 0.0.1.255 192.168.1.0 0.0.0.255
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 deny ip any any log

Link do wypowiedzi

Cisco

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

ACL

Blokowanie użytkownika

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Temat: ACL

Podobne tematy

Cisco » Analizator ACL pod WINDOWS ? , coś a'la packet tracer w PIX. -

Cisco » Problem z konfiguracją ACL na CISCO 2811 -

Analizator ACL pod WINDOWS ...

iSCSI i konfiguracja interfejsów

Szkolenia z zapewnienia poprawnerj...

Oferty pracy