forum.opennet.ru - "permit tcp any any established

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"permit tcp any any established - unsupported SDM rule"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"permit tcp any any established - unsupported SDM rule"		+/–
Сообщение от Remy (ok) on 30-Апр-09, 14:16
Добрый день, после создания правила, с параметром established конфигурация Firewall правил через Web-интерфейс стала невозможна. подскажите пожалуйста: 1. так и должно быть или можно этого избежать? 2. можно ли не использовать параметр established? но чтоб все работало?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

permit tcp any any established - unsupported SDM rule, Remy, 19:00 , 04-Май-09, (1)

permit tcp any any established - unsupported SDM rule, Remy, 09:47 , 13-Май-09, (2)

permit tcp any any established - unsupported SDM rule, sh_, 10:33 , 13-Май-09, (3)

permit tcp any any established - unsupported SDM rule, Remy, 10:44 , 13-Май-09, (4)

permit tcp any any established - unsupported SDM rule, sh_, 11:43 , 13-Май-09, (5)

permit tcp any any established - unsupported SDM rule, Remy, 16:06 , 13-Май-09, (6)

permit tcp any any established - unsupported SDM rule, sh_, 17:43 , 13-Май-09, (7)

permit tcp any any established - unsupported SDM rule, Remy, 18:52 , 13-Май-09, (8)

permit tcp any any established - unsupported SDM rule, sh_, 10:06 , 14-Май-09, (9)

permit tcp any any established - unsupported SDM rule, Remy, 11:38 , 14-Май-09, (10)

permit tcp any any established - unsupported SDM rule, CrAzOiD, 14:59 , 14-Май-09, (11)

permit tcp any any established - unsupported SDM rule, Remy, 15:14 , 14-Май-09, (12)

permit tcp any any established - unsupported SDM rule, CrAzOiD, 16:09 , 14-Май-09, (13)

permit tcp any any established - unsupported SDM rule, Remy, 17:33 , 14-Май-09, (14)

permit tcp any any established - unsupported SDM rule, CrAzOiD, 18:39 , 14-Май-09, (15)

permit tcp any any established - unsupported SDM rule, Remy, 18:52 , 14-Май-09, (16)

permit tcp any any established - unsupported SDM rule, CrAzOiD, 20:34 , 14-Май-09, (17)

permit tcp any any established - unsupported SDM rule, Remy, 13:43 , 27-Авг-09, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 04-Май-09, 19:00

Up!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 13-Май-09, 09:47

>Up!
Up!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от sh_ (ok) on 13-Май-09, 10:33

:) А вы что хотите сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 13-Май-09, 10:44

>:) А вы что хотите сделать?
я хочу настроить элементарные правила работы на фаерволе.
если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
permit tcp any any established
+ мне необходимо чтоб веб-интерфейс продолжал работать, так как аутсорсер на объекте не в зуб ногой по работе через консоль, а по вебу еще есть шанс его обучуть

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от sh_ (ok) on 13-Май-09, 11:43

>>:) А вы что хотите сделать?
>
>я хочу настроить элементарные правила работы на фаерволе.
>если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
>permit tcp any any established
это не так.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 13-Май-09, 16:06

>>>:) А вы что хотите сделать?
>>
>>я хочу настроить элементарные правила работы на фаерволе.
>>если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
>>permit tcp any any established
>
>это не так.
спасибо за ответ.
вы могли бы привести простейший пример правил, например разрешающий:
все на выход, а на вход, чтоб работали только определенные порты на которые прописан статический NAT, например 25.
сейчас у меня сделано так:
NAT
Standard IP access list 1
    10 permit 10.10.9.0, wildcard bits 0.0.0.255
Outgoing
Extended IP access list 100
    10 permit tcp host 10.10.9.252 any eq smtp (36433 matches)
    20 deny tcp any any eq smtp log
*default rules by Cisco
    30 deny ip 111.111.111.111 0.0.0.7 any (11 matches)
    40 deny ip host 255.255.255.255 any
    50 deny ip 127.0.0.0 0.255.255.255 any
    60 permit ip any any (2221189 matches)
Incoming
Extended IP access list 101
    80 permit tcp any host 111.111.111.111 eq smtp (16591 matches)
    90 permit tcp any host 111.111.111.111 eq 22 (380 matches)
    100 permit tcp any host 111.111.111.111 eq www
    110 permit tcp any host 111.111.111.111 eq 443 (3480 matches)
    120 permit tcp any host 111.111.111.111 eq 5551
    130 permit tcp any host 111.111.111.111 eq 5552 (7 matches)
    140 permit udp host 213.150.64.12 eq domain host 111.111.111.111 (66405 matches)
    150 permit udp host 213.150.65.122 eq domain host 111.111.111.111 (44466 matches)
*default rules by Cisco
    160 deny ip 10.10.9.0 0.0.0.255 any
    170 permit icmp any host 111.111.111.111 echo-reply (5 matches)
    180 permit icmp any host 111.111.111.111 time-exceeded (549 matches)
    190 permit icmp any host 111.111.111.111 unreachable (162 matches)
    200 deny ip 10.0.0.0 0.255.255.255 any
    210 deny ip 172.16.0.0 0.15.255.255 any
    220 deny ip 192.168.0.0 0.0.255.255 any
    230 deny ip 127.0.0.0 0.255.255.255 any
    240 deny ip host 255.255.255.255 any
    250 deny ip host 0.0.0.0 any
**правило о котором идет речь
    260 permit tcp any any established (2772270 matches)
    270 deny ip any any log (2914 matches)
Что не правильно здесь (все работает)? Как можно улучшить или упростить?
Почему Cisco говорит что правило permit tcp any any established - unsupported SDM rule
И блокирует управление firewall по web интерфейсу
Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от sh_ (ok) on 13-Май-09, 17:43

>вы могли бы привести простейший пример правил, например разрешающий:
>все на выход, а на вход, чтоб работали только определенные порты на
>которые прописан статический NAT, например 25.
Где-то так.
access-list 100 permit tcp any any eq 25
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any established
Но лучше покажите конфиг.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 13-Май-09, 18:52

>[оверквотинг удален]
>>все на выход, а на вход, чтоб работали только определенные порты на
>>которые прописан статический NAT, например 25.
>
>Где-то так.
>access-list 100 permit tcp any any eq 25
>access-list 100 permit tcp any any eq 80
>access-list 100 permit tcp any any eq 443
>access-list 100 permit tcp any any established
>
>Но лучше покажите конфиг.
Спасибо.
но вы же сказали что от ключа established можно отказаться или нет?
С его использованием конфигурация правил через Web станет невозможной.
конфиг:
router#sh run
Building configuration...
Current configuration : 9142 bytes
!
version 12.4
service timestamps debug datetime
service timestamps log datetime
service password-encryption
!
hostname router
!
boot-start-marker
boot system flash:c1841-advsecurityk9-mz.124-5a.bin
boot-end-marker
!
logging buffered 10000 debugging
enable secret 5 ******************
!
aaa new-model
!
!
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization network sdm_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone GMT 3
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip cef
!
!
!
!
ip domain name domain.ru
ip name-server 213.150.64.12
ip name-server 213.150.65.122
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki *************
!
crypto pki certificate *******
  quit
username adminz privilege 15 password 7 ***
username userz privilege 0 password 7 ***
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes 256
group 2
!
crypto isakmp policy 3
encr 3des
group 2
!
crypto isakmp client configuration group ***_vpn
key ***
dns 10.10.9.253
domain domain.local
pool SDM_POOL_1
!
!
crypto ipsec transform-set ***_vpn esp-aes 256 esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ***_vpn
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
interface FastEthernet0/0
description ###outside interface###$FW_OUTSIDE$$ETH-WAN$
ip address 111.111.111.111 255.255.255.248
ip access-group 101 in
ip verify unicast reverse-path
ip accounting output-packets
ip nat outside
ip virtual-reassembly
speed 100
full-duplex
crypto map SDM_CMAP_1
!
interface FastEthernet0/1
description ###inside interface###$FW_INSIDE$$ETH-LAN$
ip address 10.10.9.254 255.255.255.0
ip access-group 100 in
ip accounting output-packets
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool SDM_POOL_1 10.10.1.1 10.10.1.25
ip route 0.0.0.0 0.0.0.0 111.111.111.110
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source static tcp 10.10.9.253 1723 interface FastEthernet0/0 1723
ip nat inside source static tcp 10.10.9.254 22 interface FastEthernet0/0 22
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.10.9.253 3389 interface FastEthernet0/0 5551
ip nat inside source static tcp 10.10.9.252 3389 interface FastEthernet0/0 5552
ip nat inside source static udp 10.10.9.253 53 interface FastEthernet0/0 53
ip nat inside source static tcp 10.10.9.252 25 interface FastEthernet0/0 25
ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443
ip nat inside source static tcp 10.10.9.254 10000 interface FastEthernet0/0 10000
ip dns server
!
access-list 1 remark permit_nat
access-list 1 remark SDM_ACL Category=16
access-list 1 permit 10.10.9.0 0.0.0.255
access-list 100 permit tcp host 10.10.9.252 any eq smtp
access-list 100 remark Deny SMTP
access-list 100 deny   tcp any any eq smtp log
access-list 100 deny   ip 111.111.111.109 0.0.0.7 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit gre any any log
access-list 101 permit tcp any host 111.111.111.111 eq 1723
access-list 101 permit tcp any host 111.111.111.111 eq 10000
access-list 101 permit udp any host 111.111.111.111 eq isakmp
access-list 101 permit udp any eq isakmp host 111.111.111.111
access-list 101 permit udp any host 111.111.111.111 eq non500-isakmp
access-list 101 permit udp any eq non500-isakmp host 111.111.111.111
access-list 101 permit tcp any host 111.111.111.111 eq smtp
access-list 101 permit tcp any host 111.111.111.111 eq 22
access-list 101 permit tcp any host 111.111.111.111 eq www
access-list 101 permit tcp any host 111.111.111.111 eq 443
access-list 101 permit tcp any host 111.111.111.111 eq 5551
access-list 101 permit tcp any host 111.111.111.111 eq 5552
access-list 101 permit udp host 213.150.64.12 eq domain host 111.111.111.111
access-list 101 permit udp host 213.150.65.122 eq domain host 111.111.111.111
access-list 101 deny   ip 10.10.9.0 0.0.0.255 any
access-list 101 permit icmp any host 111.111.111.111 echo-reply
access-list 101 permit icmp any host 111.111.111.111 time-exceeded
access-list 101 permit icmp any host 111.111.111.111 unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 permit tcp any any established
access-list 101 deny   ip any any log
access-list 102 remark SDM_ACL Category=2
access-list 102 deny   ip any host 10.10.1.1
access-list 102 deny   ip any host 10.10.1.2
access-list 102 deny   ip any host 10.10.1.3
access-list 102 deny   ip any host 10.10.1.4
access-list 102 deny   ip any host 10.10.1.5
access-list 102 deny   ip any host 10.10.1.6
access-list 102 deny   ip any host 10.10.1.7
access-list 102 deny   ip any host 10.10.1.8
access-list 102 deny   ip any host 10.10.1.9
access-list 102 deny   ip any host 10.10.1.10
access-list 102 deny   ip any host 10.10.1.11
access-list 102 deny   ip any host 10.10.1.12
access-list 102 deny   ip any host 10.10.1.13
access-list 102 deny   ip any host 10.10.1.14
access-list 102 deny   ip any host 10.10.1.15
access-list 102 deny   ip any host 10.10.1.16
access-list 102 deny   ip any host 10.10.1.17
access-list 102 deny   ip any host 10.10.1.18
access-list 102 deny   ip any host 10.10.1.19
access-list 102 deny   ip any host 10.10.1.20
access-list 102 deny   ip any host 10.10.1.21
access-list 102 deny   ip any host 10.10.1.22
access-list 102 deny   ip any host 10.10.1.23
access-list 102 deny   ip any host 10.10.1.24
access-list 102 deny   ip any host 10.10.1.25
access-list 102 permit ip 10.10.9.0 0.0.0.255 any
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
!
control-plane
!
banner login ^CCC
=========================!!!CAUTION!!!===================================
This system is owned by *** Ltd. If you are not authorized to
access this system,exit immediately. Unauthorized access to this system is
forbidden by company policies, national, and international laws.Unauthorized
users are subject to criminal and civil penalties as well as company
initiated disciplinary proceedings.
By entry into this system you acknowledge that you are authorized access
and the level of privilege you subsequently execute on this system. You
further acknowledge that by entry into this system you expect no privacy from mo
nitoring.
=========================================================================
^C
!
line con 0
password 7 ***
line aux 0
password 7 ***
modem InOut
transport input all
flowcontrol hardware
line vty 0 4
access-class vty_access in
password 7 ***
transport input ssh
line vty 5 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
router#

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от sh_ (ok) on 14-Май-09, 10:06

>Спасибо.
>но вы же сказали что от ключа established можно отказаться или нет?
Нет, я такого не говорил.
Я думаю, чтобы sdm работал, нужно вот это убрать.
ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443
Или хотя бы натить не в адрес интерфейса.
PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на цызку?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 14-Май-09, 11:38

>[оверквотинг удален]
>Нет, я такого не говорил.
>
>Я думаю, чтобы sdm работал, нужно вот это убрать.
>ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80
>ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443
>
>Или хотя бы натить не в адрес интерфейса.
>
>PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на
>цызку?
Нет. Эти дырки у меня пробиты для OWA Exhcange.
SDM-ом я проользуюсь внутри, даже не я, а админ заказчика. Все работает. И web интерфейст тоже. Но, как только появляется правило с ключом established, управление правилами (только это, остально работает как прежде) фаервола через web перестает работать.
И появляется пометка: not supported SDM rule.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от CrAzOiD (ok) on 14-Май-09, 14:59

>Добрый день,
>после создания правила, с параметром established
>конфигурация Firewall правил через Web-интерфейс стала невозможна.
>
>подскажите пожалуйста:
>1. так и должно быть или можно этого избежать?
>2. можно ли не использовать параметр established? но чтоб все работало?
SDM считает что вы будете использовать ip inspect
Поэтому и не принимает правила с established. Что логично.
Используйте ip inspect для возвратных пакетов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 14-Май-09, 15:14

>[оверквотинг удален]
>>после создания правила, с параметром established
>>конфигурация Firewall правил через Web-интерфейс стала невозможна.
>>
>>подскажите пожалуйста:
>>1. так и должно быть или можно этого избежать?
>>2. можно ли не использовать параметр established? но чтоб все работало?
>
>SDM считает что вы будете использовать ip inspect
>Поэтому и не принимает правила с established. Что логично.
>Используйте ip inspect для возвратных пакетов.
спасибо за ответ.
вы могли бы дать пример необходимый (минимальный) для коректного использования?
то что я использовал по умолчанию, намертво подвешивало девайс :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от CrAzOiD (ok) on 14-Май-09, 16:09

>[оверквотинг удален]
>>>1. так и должно быть или можно этого избежать?
>>>2. можно ли не использовать параметр established? но чтоб все работало?
>>
>>SDM считает что вы будете использовать ip inspect
>>Поэтому и не принимает правила с established. Что логично.
>>Используйте ip inspect для возвратных пакетов.
>
>спасибо за ответ.
>вы могли бы дать пример необходимый (минимальный) для коректного использования?
>то что я использовал по умолчанию, намертво подвешивало девайс :(
Минимально например так:
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
!
interface FastEthernet0/0/0
description Provider
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip access-group FireWall in
ip access-group FireWall_out out
ip nat outside
ip inspect SDM_LOW out
!
ip access-list extended FireWall
deny ip any any
!
ip access-list extended FireWall_out
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 127.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any any
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 14-Май-09, 17:33

>[оверквотинг удален]
>ip access-list extended FireWall
> deny ip any any
>!
>ip access-list extended FireWall_out
> deny   ip any 10.0.0.0 0.255.255.255
> deny   ip any 127.0.0.0 0.255.255.255
> deny   ip any 172.16.0.0 0.15.255.255
> deny   ip any 192.168.0.0 0.0.255.255
> permit ip any any
>!
Спасибо, помогло.
У себя прописал только это:
>ip inspect name SDM_LOW dns
>ip inspect name SDM_LOW ftp
>ip inspect name SDM_LOW icmp
>ip inspect name SDM_LOW tcp
>ip inspect name SDM_LOW udp
>interface FastEthernet0/0
> ip inspect SDM_LOW out
Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или без разнице (what is the best practice?)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от CrAzOiD (ok) on 14-Май-09, 18:39

>[оверквотинг удален]
>
>Спасибо, помогло.
>У себя прописал только это:
>>ip inspect name SDM_LOW dns
>>ip inspect name SDM_LOW ftp
>>ip inspect name SDM_LOW icmp
>>ip inspect name SDM_LOW tcp
>>ip inspect name SDM_LOW udp
>>interface FastEthernet0/0
>> ip inspect SDM_LOW out
Ну, по желанию/необходимости можно включить инспектирование других протоколов.
>Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или
>без разнице (what is the best practice?)
Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты не попадали в маршрутизатор.
Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" брешь для входящих пакетов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (ok) on 14-Май-09, 18:52

>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты
>не попадали в маршрутизатор.
>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается"
>брешь для входящих пакетов.
неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на внутреннем, или имеет смысл все перенести на внешний?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от CrAzOiD (ok) on 14-Май-09, 20:34

>>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты
>>не попадали в маршрутизатор.
>>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается"
>>брешь для входящих пакетов.
>
>неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на
>внутреннем, или имеет смысл все перенести на внешний?
Это зависит от того как у вас все организовано.
Приведенный в моем примере ACL служит для исключения случайного выброса в сеть провайдера фейковых адресов. Поэтому он на in входящего интерфейса.
А бест практис звучит так: расширенный ACL лучше размещать ближе к блокируемому трафику.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "permit tcp any any established - unsupported SDM rule" +/–

Сообщение от Remy (??) on 27-Авг-09, 13:43

>[оверквотинг удален]
>ip inspect name SDM_LOW tcp
>ip inspect name SDM_LOW udp
>!
>interface FastEthernet0/0/0
> description Provider
> ip address xxx.xxx.xxx.xxx 255.255.255.252
> ip access-group FireWall in
> ip access-group FireWall_out out
> ip nat outside
> ip inspect SDM_LOW out
Почему вы прописали
ip inspect SDM_LOW на внешнем интерфейсе, но с ключом out?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "permit tcp any any established - unsupported SDM rule"		+/–
Сообщение от Remy (ok) on 04-Май-09, 19:00
Up!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 13-Май-09, 09:47
	>Up! Up!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от sh_ (ok) on 13-Май-09, 10:33
	:) А вы что хотите сделать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 13-Май-09, 10:44
	>:) А вы что хотите сделать? я хочу настроить элементарные правила работы на фаерволе. если я правильно понял, чтобы пакеты приходили обратно необходимо правило: permit tcp any any established + мне необходимо чтоб веб-интерфейс продолжал работать, так как аутсорсер на объекте не в зуб ногой по работе через консоль, а по вебу еще есть шанс его обучуть
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от sh_ (ok) on 13-Май-09, 11:43
	>>:) А вы что хотите сделать? > >я хочу настроить элементарные правила работы на фаерволе. >если я правильно понял, чтобы пакеты приходили обратно необходимо правило: >permit tcp any any established это не так.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 13-Май-09, 16:06
	>>>:) А вы что хотите сделать? >> >>я хочу настроить элементарные правила работы на фаерволе. >>если я правильно понял, чтобы пакеты приходили обратно необходимо правило: >>permit tcp any any established > >это не так. спасибо за ответ. вы могли бы привести простейший пример правил, например разрешающий: все на выход, а на вход, чтоб работали только определенные порты на которые прописан статический NAT, например 25. сейчас у меня сделано так: NAT Standard IP access list 1 10 permit 10.10.9.0, wildcard bits 0.0.0.255 Outgoing Extended IP access list 100 10 permit tcp host 10.10.9.252 any eq smtp (36433 matches) 20 deny tcp any any eq smtp log default rules by Cisco 30 deny ip 111.111.111.111 0.0.0.7 any (11 matches) 40 deny ip host 255.255.255.255 any 50 deny ip 127.0.0.0 0.255.255.255 any 60 permit ip any any (2221189 matches) Incoming Extended IP access list 101 80 permit tcp any host 111.111.111.111 eq smtp (16591 matches) 90 permit tcp any host 111.111.111.111 eq 22 (380 matches) 100 permit tcp any host 111.111.111.111 eq www 110 permit tcp any host 111.111.111.111 eq 443 (3480 matches) 120 permit tcp any host 111.111.111.111 eq 5551 130 permit tcp any host 111.111.111.111 eq 5552 (7 matches) 140 permit udp host 213.150.64.12 eq domain host 111.111.111.111 (66405 matches) 150 permit udp host 213.150.65.122 eq domain host 111.111.111.111 (44466 matches) default rules by Cisco 160 deny ip 10.10.9.0 0.0.0.255 any 170 permit icmp any host 111.111.111.111 echo-reply (5 matches) 180 permit icmp any host 111.111.111.111 time-exceeded (549 matches) 190 permit icmp any host 111.111.111.111 unreachable (162 matches) 200 deny ip 10.0.0.0 0.255.255.255 any 210 deny ip 172.16.0.0 0.15.255.255 any 220 deny ip 192.168.0.0 0.0.255.255 any 230 deny ip 127.0.0.0 0.255.255.255 any 240 deny ip host 255.255.255.255 any 250 deny ip host 0.0.0.0 any **правило о котором идет речь 260 permit tcp any any established (2772270 matches) 270 deny ip any any log (2914 matches) Что не правильно здесь (все работает)? Как можно улучшить или упростить? Почему Cisco говорит что правило permit tcp any any established - unsupported SDM rule И блокирует управление firewall по web интерфейсу Спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от sh_ (ok) on 13-Май-09, 17:43
	>вы могли бы привести простейший пример правил, например разрешающий: >все на выход, а на вход, чтоб работали только определенные порты на >которые прописан статический NAT, например 25. Где-то так. access-list 100 permit tcp any any eq 25 access-list 100 permit tcp any any eq 80 access-list 100 permit tcp any any eq 443 access-list 100 permit tcp any any established Но лучше покажите конфиг.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 13-Май-09, 18:52
	>[оверквотинг удален] >>все на выход, а на вход, чтоб работали только определенные порты на >>которые прописан статический NAT, например 25. > >Где-то так. >access-list 100 permit tcp any any eq 25 >access-list 100 permit tcp any any eq 80 >access-list 100 permit tcp any any eq 443 >access-list 100 permit tcp any any established > >Но лучше покажите конфиг. Спасибо. но вы же сказали что от ключа established можно отказаться или нет? С его использованием конфигурация правил через Web станет невозможной. конфиг: router#sh run Building configuration... Current configuration : 9142 bytes ! version 12.4 service timestamps debug datetime service timestamps log datetime service password-encryption ! hostname router ! boot-start-marker boot system flash:c1841-advsecurityk9-mz.124-5a.bin boot-end-marker ! logging buffered 10000 debugging enable secret 5 **************** ! aaa new-model ! ! aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ! resource policy ! clock timezone GMT 3 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip cef ! ! ! ! ip domain name domain.ru ip name-server 213.150.64.12 ip name-server 213.150.65.122 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! crypto pki ********* ! crypto pki certificate *** quit username adminz privilege 15 password 7 * username userz privilege 0 password 7 * ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr aes 256 group 2 ! crypto isakmp policy 3 encr 3des group 2 ! crypto isakmp client configuration group _vpn key dns 10.10.9.253 domain domain.local pool SDM_POOL_1 ! ! crypto ipsec transform-set _vpn esp-aes 256 esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set _vpn reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! interface FastEthernet0/0 description ###outside interface###$FW_OUTSIDE$$ETH-WAN$ ip address 111.111.111.111 255.255.255.248 ip access-group 101 in ip verify unicast reverse-path ip accounting output-packets ip nat outside ip virtual-reassembly speed 100 full-duplex crypto map SDM_CMAP_1 ! interface FastEthernet0/1 description ###inside interface###$FW_INSIDE$$ETH-LAN$ ip address 10.10.9.254 255.255.255.0 ip access-group 100 in ip accounting output-packets ip nat inside ip virtual-reassembly duplex auto speed auto ! ip local pool SDM_POOL_1 10.10.1.1 10.10.1.25 ip route 0.0.0.0 0.0.0.0 111.111.111.110 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat inside source static tcp 10.10.9.253 1723 interface FastEthernet0/0 1723 ip nat inside source static tcp 10.10.9.254 22 interface FastEthernet0/0 22 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload ip nat inside source static tcp 10.10.9.253 3389 interface FastEthernet0/0 5551 ip nat inside source static tcp 10.10.9.252 3389 interface FastEthernet0/0 5552 ip nat inside source static udp 10.10.9.253 53 interface FastEthernet0/0 53 ip nat inside source static tcp 10.10.9.252 25 interface FastEthernet0/0 25 ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80 ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443 ip nat inside source static tcp 10.10.9.254 10000 interface FastEthernet0/0 10000 ip dns server ! access-list 1 remark permit_nat access-list 1 remark SDM_ACL Category=16 access-list 1 permit 10.10.9.0 0.0.0.255 access-list 100 permit tcp host 10.10.9.252 any eq smtp access-list 100 remark Deny SMTP access-list 100 deny tcp any any eq smtp log access-list 100 deny ip 111.111.111.109 0.0.0.7 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 permit gre any any log access-list 101 permit tcp any host 111.111.111.111 eq 1723 access-list 101 permit tcp any host 111.111.111.111 eq 10000 access-list 101 permit udp any host 111.111.111.111 eq isakmp access-list 101 permit udp any eq isakmp host 111.111.111.111 access-list 101 permit udp any host 111.111.111.111 eq non500-isakmp access-list 101 permit udp any eq non500-isakmp host 111.111.111.111 access-list 101 permit tcp any host 111.111.111.111 eq smtp access-list 101 permit tcp any host 111.111.111.111 eq 22 access-list 101 permit tcp any host 111.111.111.111 eq www access-list 101 permit tcp any host 111.111.111.111 eq 443 access-list 101 permit tcp any host 111.111.111.111 eq 5551 access-list 101 permit tcp any host 111.111.111.111 eq 5552 access-list 101 permit udp host 213.150.64.12 eq domain host 111.111.111.111 access-list 101 permit udp host 213.150.65.122 eq domain host 111.111.111.111 access-list 101 deny ip 10.10.9.0 0.0.0.255 any access-list 101 permit icmp any host 111.111.111.111 echo-reply access-list 101 permit icmp any host 111.111.111.111 time-exceeded access-list 101 permit icmp any host 111.111.111.111 unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 permit tcp any any established access-list 101 deny ip any any log access-list 102 remark SDM_ACL Category=2 access-list 102 deny ip any host 10.10.1.1 access-list 102 deny ip any host 10.10.1.2 access-list 102 deny ip any host 10.10.1.3 access-list 102 deny ip any host 10.10.1.4 access-list 102 deny ip any host 10.10.1.5 access-list 102 deny ip any host 10.10.1.6 access-list 102 deny ip any host 10.10.1.7 access-list 102 deny ip any host 10.10.1.8 access-list 102 deny ip any host 10.10.1.9 access-list 102 deny ip any host 10.10.1.10 access-list 102 deny ip any host 10.10.1.11 access-list 102 deny ip any host 10.10.1.12 access-list 102 deny ip any host 10.10.1.13 access-list 102 deny ip any host 10.10.1.14 access-list 102 deny ip any host 10.10.1.15 access-list 102 deny ip any host 10.10.1.16 access-list 102 deny ip any host 10.10.1.17 access-list 102 deny ip any host 10.10.1.18 access-list 102 deny ip any host 10.10.1.19 access-list 102 deny ip any host 10.10.1.20 access-list 102 deny ip any host 10.10.1.21 access-list 102 deny ip any host 10.10.1.22 access-list 102 deny ip any host 10.10.1.23 access-list 102 deny ip any host 10.10.1.24 access-list 102 deny ip any host 10.10.1.25 access-list 102 permit ip 10.10.9.0 0.0.0.255 any route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! ! control-plane ! banner login ^CCC =========================!!!CAUTION!!!=================================== This system is owned by * Ltd. If you are not authorized to access this system,exit immediately. Unauthorized access to this system is forbidden by company policies, national, and international laws.Unauthorized users are subject to criminal and civil penalties as well as company initiated disciplinary proceedings. By entry into this system you acknowledge that you are authorized access and the level of privilege you subsequently execute on this system. You further acknowledge that by entry into this system you expect no privacy from mo nitoring. ========================================================================= ^C ! line con 0 password 7 * line aux 0 password 7 * modem InOut transport input all flowcontrol hardware line vty 0 4 access-class vty_access in password 7 *** transport input ssh line vty 5 15 transport input telnet ssh ! scheduler allocate 20000 1000 end router#
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от sh_ (ok) on 14-Май-09, 10:06
	>Спасибо. >но вы же сказали что от ключа established можно отказаться или нет? Нет, я такого не говорил. Я думаю, чтобы sdm работал, нужно вот это убрать. ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80 ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443 Или хотя бы натить не в адрес интерфейса. PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на цызку?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 14-Май-09, 11:38
	>[оверквотинг удален] >Нет, я такого не говорил. > >Я думаю, чтобы sdm работал, нужно вот это убрать. >ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80 >ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443 > >Или хотя бы натить не в адрес интерфейса. > >PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на >цызку? Нет. Эти дырки у меня пробиты для OWA Exhcange. SDM-ом я проользуюсь внутри, даже не я, а админ заказчика. Все работает. И web интерфейст тоже. Но, как только появляется правило с ключом established, управление правилами (только это, остально работает как прежде) фаервола через web перестает работать. И появляется пометка: not supported SDM rule.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

11. "permit tcp any any established - unsupported SDM rule"		+/–
Сообщение от CrAzOiD (ok) on 14-Май-09, 14:59
>Добрый день, >после создания правила, с параметром established >конфигурация Firewall правил через Web-интерфейс стала невозможна. > >подскажите пожалуйста: >1. так и должно быть или можно этого избежать? >2. можно ли не использовать параметр established? но чтоб все работало? SDM считает что вы будете использовать ip inspect Поэтому и не принимает правила с established. Что логично. Используйте ip inspect для возвратных пакетов.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 14-Май-09, 15:14
	>[оверквотинг удален] >>после создания правила, с параметром established >>конфигурация Firewall правил через Web-интерфейс стала невозможна. >> >>подскажите пожалуйста: >>1. так и должно быть или можно этого избежать? >>2. можно ли не использовать параметр established? но чтоб все работало? > >SDM считает что вы будете использовать ip inspect >Поэтому и не принимает правила с established. Что логично. >Используйте ip inspect для возвратных пакетов. спасибо за ответ. вы могли бы дать пример необходимый (минимальный) для коректного использования? то что я использовал по умолчанию, намертво подвешивало девайс :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от CrAzOiD (ok) on 14-Май-09, 16:09
	>[оверквотинг удален] >>>1. так и должно быть или можно этого избежать? >>>2. можно ли не использовать параметр established? но чтоб все работало? >> >>SDM считает что вы будете использовать ip inspect >>Поэтому и не принимает правила с established. Что логично. >>Используйте ip inspect для возвратных пакетов. > >спасибо за ответ. >вы могли бы дать пример необходимый (минимальный) для коректного использования? >то что я использовал по умолчанию, намертво подвешивало девайс :( Минимально например так: ip inspect name SDM_LOW dns ip inspect name SDM_LOW ftp ip inspect name SDM_LOW icmp ip inspect name SDM_LOW tcp ip inspect name SDM_LOW udp ! interface FastEthernet0/0/0 description Provider ip address xxx.xxx.xxx.xxx 255.255.255.252 ip access-group FireWall in ip access-group FireWall_out out ip nat outside ip inspect SDM_LOW out ! ip access-list extended FireWall deny ip any any ! ip access-list extended FireWall_out deny ip any 10.0.0.0 0.255.255.255 deny ip any 127.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 permit ip any any !
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 14-Май-09, 17:33
	>[оверквотинг удален] >ip access-list extended FireWall > deny ip any any >! >ip access-list extended FireWall_out > deny ip any 10.0.0.0 0.255.255.255 > deny ip any 127.0.0.0 0.255.255.255 > deny ip any 172.16.0.0 0.15.255.255 > deny ip any 192.168.0.0 0.0.255.255 > permit ip any any >! Спасибо, помогло. У себя прописал только это: >ip inspect name SDM_LOW dns >ip inspect name SDM_LOW ftp >ip inspect name SDM_LOW icmp >ip inspect name SDM_LOW tcp >ip inspect name SDM_LOW udp >interface FastEthernet0/0 > ip inspect SDM_LOW out Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или без разнице (what is the best practice?)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от CrAzOiD (ok) on 14-Май-09, 18:39
	>[оверквотинг удален] > >Спасибо, помогло. >У себя прописал только это: >>ip inspect name SDM_LOW dns >>ip inspect name SDM_LOW ftp >>ip inspect name SDM_LOW icmp >>ip inspect name SDM_LOW tcp >>ip inspect name SDM_LOW udp >>interface FastEthernet0/0 >> ip inspect SDM_LOW out Ну, по желанию/необходимости можно включить инспектирование других протоколов. >Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или >без разнице (what is the best practice?) Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты не попадали в маршрутизатор. Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" брешь для входящих пакетов.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (ok) on 14-Май-09, 18:52
	>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты >не попадали в маршрутизатор. >Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" >брешь для входящих пакетов. неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на внутреннем, или имеет смысл все перенести на внешний?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от CrAzOiD (ok) on 14-Май-09, 20:34
	>>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты >>не попадали в маршрутизатор. >>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" >>брешь для входящих пакетов. > >неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на >внутреннем, или имеет смысл все перенести на внешний? Это зависит от того как у вас все организовано. Приведенный в моем примере ACL служит для исключения случайного выброса в сеть провайдера фейковых адресов. Поэтому он на in входящего интерфейса. А бест практис звучит так: расширенный ACL лучше размещать ближе к блокируемому трафику.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "permit tcp any any established - unsupported SDM rule"		+/–
	Сообщение от Remy (??) on 27-Авг-09, 13:43
	>[оверквотинг удален] >ip inspect name SDM_LOW tcp >ip inspect name SDM_LOW udp >! >interface FastEthernet0/0/0 > description Provider > ip address xxx.xxx.xxx.xxx 255.255.255.252 > ip access-group FireWall in > ip access-group FireWall_out out > ip nat outside > ip inspect SDM_LOW out Почему вы прописали ip inspect SDM_LOW на внешнем интерфейсе, но с ключом out?!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору