URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20039
[ Назад ]

Исходное сообщение
"Cisco ACL"

Отправлено vlakas , 16-Ноя-09 23:42 
Доброго времени суток.

Есть cisco 1841:

IOS ver: 12.4
fa0/0: external
fa0/1: internal

Конфиг


!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname host1
!
boot-start-marker
boot-end-marker
!
enable secret 5 ciphered.
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
ip domain name yourdomain.com
!
!
!
crypto pki trustpoint TP-self-signed-2576597825
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2576597825
revocation-check none
rsakeypair TP-self-signed-2576597825
!
!
username netbox privilege 15 secret 5 ciphered.
!
!
!
!
!
interface FastEthernet0/0
description External_Interface
ip address x.x.195.162 255.255.255.248
ip access-group 101 in
ip nat outside
no ip proxy-arp
ip virtual-reassembly
no cdp enable
duplex auto
speed auto
!
interface FastEthernet0/1
description Internal_Interface
ip address 10.131.0.1 255.255.255.0
ip access-group 10 in
no ip proxy-arp
ip nat inside
no cdp enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.195.161
!
no ip http server
no ip http secure-server
ip nat pool external_pool x.x.195.162 x.x.195.162 netmask 255.255.255.248
ip nat inside source list 10 pool external_pool overload
ip nat inside source static tcp 10.131.0.2 25 x.x.195.162 25 extendable
ip nat inside source static tcp 10.131.0.2 443 x.x.195.162 443 extendable
ip nat inside source static tcp 10.131.0.2 3389 x.x.195.162 3389 extendable
ip nat inside source static tcp 10.131.0.2 1723 x.x.195.162 1723 extendable
!
access-list 10 permit 10.131.0.0 0.0.0.255 log
access-list 23 permit x.x.211.54
access-list 23 permit x.x.64.75
access-list 23 permit x.x.211.142
access-list 23 deny   any
access-list 101 permit icmp any host x.x.195.162 echo
access-list 101 permit icmp any host x.x.195.162 echo-reply
access-list 101 permit tcp any host x.x.195.162 eq 443
access-list 101 permit tcp any host x.x.195.162 eq smtp
access-list 101 permit tcp any host x.x.195.162 eq 3389
access-list 101 permit tcp host x.x.211.142 host x.x.195.162 eq 22
access-list 101 permit tcp host x.x.211.54 host x.x.195.162 eq 22
access-list 101 permit tcp any host x.x.195.162 eq 1723
access-list 101 deny   ip any any
!
no cdp run
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input ssh
!line vty 5 15
! access-class 23 in
! privilege level 15
! login local
! transport input ssh
!
end

В частности затык у меня где-то тут

...
access-list 101 permit icmp any host x.x.195.162 echo
access-list 101 permit icmp any host x.x.195.162 echo-reply
access-list 101 permit tcp any host x.x.195.162 eq 443
access-list 101 permit tcp any host x.x.195.162 eq smtp
access-list 101 permit tcp any host x.x.195.162 eq 3389
access-list 101 permit tcp host x.x.211.142 host x.x.195.162 eq 22
access-list 101 permit tcp host x.x.211.54 host x.x.195.162 eq 22
access-list 101 permit tcp any host x.x.195.162 eq 1723
access-list 101 deny   ip any any
...

происходит блокирование входящего трафика. Без последней строки все пашет ОК.

И второй вопрос.

Как правильно дать доступ к SSH маршрутизатора, т. е. как правильно определить для него ACL. Cisco рекомендует это делать в настройке line vty 0 4, т. е.

line vty 0 4
access-class 23 in
privilege level 15
login local
transport input ssh

Меня интересует вопрос как должны совмещаться ACL на внешнем интерфейсе на вход и ACL, позволяющий SSH вышеописанным образом.

Спасибо


Содержание

Сообщения в этом обсуждении
"Cisco ACL"
Отправлено Dr.Bier , 17-Ноя-09 00:31 
Блокирование какого трафика происходит? Того, что инициирован изнутри наружу? Ну так это правильно :) Добавьте перед access-list 101 deny ip any any строчку access-list 101 permit ip any x.x.195.162 (остальные прибейте), иначе циска дропает пакеты, которые являются ответами на пакеты, исходящие из внутренней сети. Либо используйте ip inspect для автоматического разрешения прохождения ответов на пакеты из вашей сети. Либо, опять-же, вставьте строчку вида access-list 101 permit tcp any x.x.195.162 established, если вам только tcp-траффик нужен.

Относительно закрытия ssh. Обычно на уровне vty закрывают, если ваша политика предполагает проброс ssh на внутренние адреса (чтобы не плодить две строчки в acl).

P.S. Хорошо в таких случаях последнюю строчку делать вида access-list 101 deny ip any any log - всё будет хорошо видно, почему не работает.