URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6822
[ Назад ]

Исходное сообщение
"Logging"
Отправлено g_dimon , 15-Дек-04 06:54

Добрый день всемогучий All.
Мучаюсь уже примерно месяц. Не понимаю в чём проблемма. Суть её такова:
Хочу в логах видеть порт источника и назначения, пишу
access-list 111 deny ip any any log-input
Вижу
Dec 15 09:33:02 x.x.x.x 90910: Dec 15 02:31:15.864: %SEC-6-IPACCESSLOGDP: list x deny icmp 1.1.1.1 (FastEthernet0/1 ) -> 1.1.2.1 (0/0), 1 packet
Если кто-нить знает таку проблемму, буду безмерно благодарен за её решение.
Настройки: logging trap debugging
logging 1.1.3.1
Заранее благодарен.

Содержание

Logging,YuryD, 13:07 , 15-Дек-04
Logging,citrin, 21:51 , 15-Дек-04
- Logging,g_dimon, 04:02 , 16-Дек-04
  - Logging,g_dimon, 04:15 , 16-Дек-04
    - Logging,Agp, 10:50 , 16-Дек-04
      - Logging,g_dimon, 10:52 , 16-Дек-04
    - Logging,citrin, 14:40 , 16-Дек-04

Сообщения в этом обсуждении

"Logging"
Отправлено YuryD , 15-Дек-04 13:07

>Хочу в логах видеть порт источника и назначения, пишу
>access-list 111 deny ip any any log-input
У IP нет портов, порты будут у TCP/UDP

"Logging"
Отправлено citrin , 15-Дек-04 21:51

>Добрый день всемогучий All.
>Мучаюсь уже примерно месяц. Не понимаю в чём проблемма. Суть её такова:
>
>Хочу в логах видеть порт источника и назначения, пишу
>access-list 111 deny ip any any log-input
Например можно поставить такой ACL
deny tcp any any range 0 65535 log-input
deny udp any any range 0 65535 log-input
deny ip any any log-input

"Logging"
Отправлено g_dimon , 16-Дек-04 04:02

Огромадное спасибо. Почему я так ошибался: при удалении всего IP-траффика в логах писался TCP, UDP or ICMP. Поэтому я предположил, что он и до портов должен добираться.
Ещё раз большое спасибо.

"Logging"
Отправлено g_dimon , 16-Дек-04 04:15

Рано благодарил. Не помогает. Вместо deny ip any any log-input надолбил
deny tcp any any log-input
deny udp any any log-input
deny ip any any log-input
Не понимаю проблеммы.

"Logging"
Отправлено Agp , 16-Дек-04 10:50

Вы невнимательно прочитали совет №2. Там есть слова 'range 0 ...'

"Logging"
Отправлено g_dimon , 16-Дек-04 10:52

А Вы уверены, что это обязательно? Я не проверяю, я спрашиваю, так что прошу понять меня правильно. Просто очень это странно. Зачем ей знать диапозон отслеживаемых портов?

"Logging"
Отправлено citrin , 16-Дек-04 14:40

>Рано благодарил. Не помогает. Вместо deny ip any any log-input надолбил
>deny tcp any any log-input
>deny udp any any log-input
>deny ip any any log-input
>Не понимаю проблеммы.
range 0 65535 там не для красоты.