https://www.opennet.ru/openforum/vsluhforumID6/1890.html Здравствуйте уважаемые пользователи форума.<br>Прошу Вашей помощи.<br>Задача вот какая, есть ftp сервер к которому нужно обращаться только по ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также надо чтобы FTP шел в интернет, конфигурирую след.образом:<br>ip access-list extended for-ftp-server<br> permit tcp any host 40.0.0.2 eq www<br> permit tcp any host 40.0.0.2 eq ftp<br> permit ip host 10.0.0.10 host 40.0.0.2<br><br>ip access-group for-ftp-server out<br><br>Все работает как нужно, только ftp все ровно в интернет не идет.<br>https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!<br>Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это нужно реализовать. Заранее благодарен!!! :)<br> https://www.opennet.ru/openforum/vsluhforumID6/1890.html#7 Tue, 12 Jan 2016 17:50:10 GMT &gt;[оверквотинг удален]<br>&gt; Да, это я уже понял, что я в не правильном порядке написал <br>&gt; правила.<br>&gt; Спасибо. Знал о ней давно, но к сожалению в ней ответ на <br>&gt; свой вопрос не нашел. Хотя конечно стоит её еще раз причитать. <br>&gt; Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы <br>&gt; делали?<br>&gt; Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!<br>&gt; P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень <br>&gt; долго сижу в ACL!<br>&gt; Заранее благодарен!!!<br><br>Да чем же Вам поможет моя "простынка" правил? У меня же и структура сети совершенно другая, и набор сервисов и решаемые задачи... Так Вы еще больше запутаетесь :)<br>сделайте проще, создайте всего два правила:<br>1 permit tcp any any established #чтобы пропускать пакеты уже установленных соединений<br>99 deny ip any any log-input #чтобы увидеть в консоли, какие пакеты отбрасываются<br><br>вешаете его на внешний интерфейс в направлении in и, пытаясь подключиться к нужным сервисам с внешних хостов, смотрите вывод лога (не забываем про ter mon)<br><br>Помогу ра https://www.opennet.ru/openforum/vsluhforumID6/1890.html#6 Tue, 12 Jan 2016 10:27:42 GMT &gt;[оверквотинг удален]<br>&gt; (ftp) <br>&gt; 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2 <br>&gt; 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any) <br>&gt; Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group <br>&gt; for-ftp-server in) <br>&gt; Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд <br>&gt; ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут <br>&gt; излишне.<br>&gt; Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamples.html, <br>&gt; там довольно просто описаны ACL для самых распространенных сервисов.<br><br>Да, это я уже понял, что я в не правильном порядке написал правила.<br>Спасибо. Знал о ней давно, но к сожалению в ней ответ на свой вопрос не нашел. Хотя конечно стоит её еще раз причитать.<br>Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы делали? <br>Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!!<br>P.S. Не сочтите просьбу скинуть проект с настройками за наглост https://www.opennet.ru/openforum/vsluhforumID6/1890.html#5 Mon, 11 Jan 2016 04:14:10 GMT &gt; Здравствуйте уважаемые пользователи форума.<br>&gt; Прошу Вашей помощи.<br>&gt; Задача вот какая, есть ftp сервер к которому нужно обращаться только по <br>&gt; ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также <br>&gt; надо чтобы FTP шел в интернет, конфигурирую след.образом: <br><br>FTP за НАТом?<br>Если из внешних сетей (интернета) нужно чтобы был доступ к FTP сервису, то какой практический смысл запрещать к нему доступ изнутри? Если прямо очень хочется, то в таком случае гораздо проще сделать это средствами самого FTP сервера/сервиса.<br>Чтобы полноценно фильтровать FTP, фаервол должен уметь заглядывать "внутрь" FTP протокола, потому что этот протокол является сложным с точки зрения регулирования доступа - он для передачи данных (в том числе листинга файлов) использует отдельное сетевое соединение номером порта 20 с одной стороны и случайно (в общем случае) выбраным номером порта с другой стороны, причем направление соединения зависит о выбранного клиентом режима работы, коих в первоначальной версии протокола два, а https://www.opennet.ru/openforum/vsluhforumID6/1890.html#4 Sun, 10 Jan 2016 17:46:55 GMT &gt;[оверквотинг удален]<br>&gt; надо чтобы FTP шел в интернет, конфигурирую след.образом: <br>&gt; ip access-list extended for-ftp-server <br>&gt; permit tcp any host 40.0.0.2 eq www <br>&gt; permit tcp any host 40.0.0.2 eq ftp <br>&gt; permit ip host 10.0.0.10 host 40.0.0.2 <br>&gt; ip access-group for-ftp-server out <br>&gt; Все работает как нужно, только ftp все ровно в интернет не идет. <br>&gt; https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!<br>&gt; Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это <br>&gt; нужно реализовать. Заранее благодарен!!! :) <br><br>Ну давайте разберем Ваш пример:<br>Читаем слева-направо: <br>1 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 80 порт (www)<br>2 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 21 порт (ftp)<br>3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2<br>4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any)<br><br>Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group for-ftp-serve https://www.opennet.ru/openforum/vsluhforumID6/1890.html#3 Wed, 06 Jan 2016 16:15:30 GMT &gt; Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать <br>&gt; ACL что запретить обращение по какому-либо протоколу и при этом <br>&gt; не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это <br>&gt; нужно реализовать помогите!!!<br>&gt; Буду очень благодарен!!! :) <br><br>запрещаете доступ из локальных сетей и разрешаете со всех остальных.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1890.html#2 Wed, 06 Jan 2016 09:17:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; permit tcp any host 40.0.0.2 eq ftp <br>&gt;&gt; permit ip host 10.0.0.10 host 40.0.0.2 <br>&gt; при ftp используется не только ftp, а от режима еще и направления <br>&gt; разные, неговоря уже про порты.<br>&gt;&gt; ip access-group for-ftp-server out <br>&gt; а out это в куда?<br>&gt;&gt; Все работает как нужно, только ftp все ровно в интернет не идет.<br>&gt;&gt; https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!<br>&gt;&gt; Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это <br>&gt;&gt; нужно реализовать. Заранее благодарен!!! :) <br><br>Да конечно, мне просто необходимо понят сам принцип, каким образом нужно конфигурировать ACL что запретить обращение по какому-либо протоколу и при этом не заблокировать доступ в Интернет. Пожалуйста, если Вы знаете как это нужно реализовать помогите!!!<br>Буду очень благодарен!!! :) <br> https://www.opennet.ru/openforum/vsluhforumID6/1890.html#1 Tue, 05 Jan 2016 15:54:30 GMT &gt; Здравствуйте уважаемые пользователи форума.<br>&gt; Прошу Вашей помощи.<br>&gt; Задача вот какая, есть ftp сервер к которому нужно обращаться только по <br>&gt; ftp и админу надо разрешить ВСЁ!, IP админа 10.0.0.10/24. Также <br>&gt; надо чтобы FTP шел в интернет, конфигурирую след.образом: <br>&gt; ip access-list extended for-ftp-server <br>&gt; permit tcp any host 40.0.0.2 eq www <br>&gt; permit tcp any host 40.0.0.2 eq ftp <br>&gt; permit ip host 10.0.0.10 host 40.0.0.2 <br><br>при ftp используется не только ftp, а от режима еще и направления разные, неговоря уже про порты.<br>&gt; ip access-group for-ftp-server out <br><br>а out это в куда?<br>&gt; Все работает как нужно, только ftp все ровно в интернет не идет. <br>&gt; https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит!<br>&gt; Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это <br>&gt; нужно реализовать. Заранее благодарен!!! :)