https://www.opennet.ru/openforum/vsluhforumID6/18779.html Добрый день, <br>после создания правила, с параметром established<br>конфигурация Firewall правил через Web-интерфейс стала невозможна.<br><br>подскажите пожалуйста:<br>1. так и должно быть или можно этого избежать?<br>2. можно ли не использовать параметр established? но чтоб все работало? <br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#18 Thu, 27 Aug 2009 09:43:56 GMT &gt;[оверквотинг удален]<br>&gt;ip inspect name SDM_LOW tcp <br>&gt;ip inspect name SDM_LOW udp <br>&gt;! <br>&gt;interface FastEthernet0/0/0 <br>&gt; description Provider <br>&gt; ip address xxx.xxx.xxx.xxx 255.255.255.252 <br>&gt; ip access-group FireWall in <br>&gt; ip access-group FireWall_out out <br>&gt; ip nat outside <br>&gt; ip inspect SDM_LOW out <br><br>Почему вы прописали <br>ip inspect SDM_LOW на внешнем интерфейсе, но с ключом out?!<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#17 Thu, 14 May 2009 16:34:38 GMT &gt;&gt;Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты <br>&gt;&gt;не попадали в маршрутизатор. <br>&gt;&gt;Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" <br>&gt;&gt;брешь для входящих пакетов. <br>&gt;<br>&gt;неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на <br>&gt;внутреннем, или имеет смысл все перенести на внешний? <br><br>Это зависит от того как у вас все организовано.<br>Приведенный в моем примере ACL служит для исключения случайного выброса в сеть провайдера фейковых адресов. Поэтому он на in входящего интерфейса.<br>А бест практис звучит так: расширенный ACL лучше размещать ближе к блокируемому трафику.<br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#16 Thu, 14 May 2009 14:52:19 GMT &gt;Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты <br>&gt;не попадали в маршрутизатор. <br>&gt;Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" <br>&gt;брешь для входящих пакетов. <br><br>неправильно выразился: входящие пакеты я отсеиваю на внешнем интерфейсе, а исходящиие на внутреннем, или имеет смысл все перенести на внешний?<br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#15 Thu, 14 May 2009 14:39:27 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Спасибо, помогло. <br>&gt;У себя прописал только это: <br>&gt;&gt;ip inspect name SDM_LOW dns <br>&gt;&gt;ip inspect name SDM_LOW ftp <br>&gt;&gt;ip inspect name SDM_LOW icmp <br>&gt;&gt;ip inspect name SDM_LOW tcp <br>&gt;&gt;ip inspect name SDM_LOW udp <br>&gt;&gt;interface FastEthernet0/0 <br>&gt;&gt; ip inspect SDM_LOW out <br><br>Ну, по желанию/необходимости можно включить инспектирование других протоколов.<br><br>&gt;Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или <br>&gt;без разнице (what is the best practice?) <br><br>Файервольные правила имеет смысл располагать на внешнем интерфейсе. Что бы ненужные пакеты не попадали в маршрутизатор. <br>Кроме этого, это необходимо для Ip inspect. Именно во входящем правиле "пробивается" брешь для входящих пакетов.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#14 Thu, 14 May 2009 13:33:14 GMT &gt;[оверквотинг удален]<br>&gt;ip access-list extended FireWall <br>&gt; deny ip any any <br>&gt;! <br>&gt;ip access-list extended FireWall_out <br>&gt; deny ip any 10.0.0.0 0.255.255.255 <br>&gt; deny ip any 127.0.0.0 0.255.255.255 <br>&gt; deny ip any 172.16.0.0 0.15.255.255 <br>&gt; deny ip any 192.168.0.0 0.0.255.255 <br>&gt; permit ip any any <br>&gt;! <br><br>Спасибо, помогло.<br>У себя прописал только это:<br>&gt;ip inspect name SDM_LOW dns <br>&gt;ip inspect name SDM_LOW ftp <br>&gt;ip inspect name SDM_LOW icmp <br>&gt;ip inspect name SDM_LOW tcp <br>&gt;ip inspect name SDM_LOW udp <br>&gt;interface FastEthernet0/0 <br>&gt; ip inspect SDM_LOW out <br><br>Скажите а это удобнее прописывать правила фаервола только на внешнем интерфейсе или без разнице (what is the best practice?)<br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#13 Thu, 14 May 2009 12:09:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;1. так и должно быть или можно этого избежать? <br>&gt;&gt;&gt;2. можно ли не использовать параметр established? но чтоб все работало? <br>&gt;&gt;<br>&gt;&gt;SDM считает что вы будете использовать ip inspect <br>&gt;&gt;Поэтому и не принимает правила с established. Что логично. <br>&gt;&gt;Используйте ip inspect для возвратных пакетов. <br>&gt;<br>&gt;спасибо за ответ. <br>&gt;вы могли бы дать пример необходимый (минимальный) для коректного использования? <br>&gt;то что я использовал по умолчанию, намертво подвешивало девайс :( <br><br>Минимально например так:<br>ip inspect name SDM_LOW dns<br>ip inspect name SDM_LOW ftp<br>ip inspect name SDM_LOW icmp<br>ip inspect name SDM_LOW tcp<br>ip inspect name SDM_LOW udp<br>!<br>interface FastEthernet0/0/0<br> description Provider<br> ip address xxx.xxx.xxx.xxx 255.255.255.252<br> ip access-group FireWall in<br> ip access-group FireWall_out out<br> ip nat outside<br> ip inspect SDM_LOW out<br>!<br>ip access-list extended FireWall<br> deny ip any any<br>!<br>ip access-list extended FireWall_out<br> deny ip any 10.0.0.0 0.255.255.255<br> deny https://www.opennet.ru/openforum/vsluhforumID6/18779.html#12 Thu, 14 May 2009 11:14:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;после создания правила, с параметром established <br>&gt;&gt;конфигурация Firewall правил через Web-интерфейс стала невозможна. <br>&gt;&gt;<br>&gt;&gt;подскажите пожалуйста: <br>&gt;&gt;1. так и должно быть или можно этого избежать? <br>&gt;&gt;2. можно ли не использовать параметр established? но чтоб все работало? <br>&gt;<br>&gt;SDM считает что вы будете использовать ip inspect <br>&gt;Поэтому и не принимает правила с established. Что логично. <br>&gt;Используйте ip inspect для возвратных пакетов. <br><br>спасибо за ответ.<br>вы могли бы дать пример необходимый (минимальный) для коректного использования?<br>то что я использовал по умолчанию, намертво подвешивало девайс :(<br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#11 Thu, 14 May 2009 10:59:43 GMT &gt;Добрый день, <br>&gt;после создания правила, с параметром established <br>&gt;конфигурация Firewall правил через Web-интерфейс стала невозможна. <br>&gt;<br>&gt;подскажите пожалуйста: <br>&gt;1. так и должно быть или можно этого избежать? <br>&gt;2. можно ли не использовать параметр established? но чтоб все работало? <br><br>SDM считает что вы будете использовать ip inspect<br>Поэтому и не принимает правила с established. Что логично.<br>Используйте ip inspect для возвратных пакетов.<br> https://www.opennet.ru/openforum/vsluhforumID6/18779.html#10 Thu, 14 May 2009 07:38:10 GMT &gt;[оверквотинг удален]<br>&gt;Нет, я такого не говорил. <br>&gt;<br>&gt;Я думаю, чтобы sdm работал, нужно вот это убрать. <br>&gt;ip nat inside source static tcp 10.10.9.252 80 interface FastEthernet0/0 80 <br>&gt;ip nat inside source static tcp 10.10.9.252 443 interface FastEthernet0/0 443 <br>&gt;<br>&gt;Или хотя бы натить не в адрес интерфейса. <br>&gt;<br>&gt;PS. Я правильно понимаю, что вы снаружи по https://111.111.111.111 пытаетесь зайти на <br>&gt;цызку? <br><br>Нет. Эти дырки у меня пробиты для OWA Exhcange.<br>SDM-ом я проользуюсь внутри, даже не я, а админ заказчика. Все работает. И web интерфейст тоже. Но, как только появляется правило с ключом established, управление правилами (только это, остально работает как прежде) фаервола через web перестает работать.<br>И появляется пометка: not supported SDM rule.<br><br>