RN3DCX Опубликовано 3 января, 2017 · Жалоба Дано: коммутатор Cisco 3750G Появилась необходимость повесить ACL на Loopback, но не тут то было... ACL на Loopback'е висит, но правила не обрабатываются. Если этот же ACL повесить на interface Vlan 123, то всё ок. Если у кого соображения по этому поводу??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 3 января, 2017 · Жалоба Это не джунипер, если ацл нужен для ограничения доступа, для этого есть line vty и control-plane policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба zi_rus, да вы правы, хочу забанить доступ к SSH. vty не вариант, т.к. в этом случае надо прописывать доступ с определенных IP. Тоже думал о COPP, но пока не соображу как элегантно это сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 3 января, 2017 · Жалоба vty как раз вариант, самый простой и правильный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 3 января, 2017 · Жалоба открыть доступ с пула прова, или поднимать впн до сервера доступа, или вывести в интернет сервер со статическим адресом и ходить через него. масса вариантов, все зависит от фантазии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба И всё таки с vty выход один, это запретить все IP кроме избранных, ну либо пул, как вы предложили. Но в моем случае COPP наверное будет боле правильное решение. Только не пойму как в COPP на Loopback'е сделать DROP на port 22. 3750(config)#access-list 112 permit tcp any any eq 22 3750(config)#class-map ? WORD class-map name match-all Logical-AND all matching statements under this classmap match-any Logical-OR all matching statements under this classmap 3750(config)#class-map match-all LOCK_SSH 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#match interface lo0 ^ % Invalid input detected at '^' marker. 3750(config-cmap)#match ? access-group Access group input-interface Select one or more input interfaces to match ip IP specific values 3750(config-cmap)#match input-interface lo0 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#exit 3750(config)#policy-map SSH_POLYCE 3750(config-pmap)#? QoS policy-map configuration commands: class policy criteria description Policy-Map description exit Exit from QoS policy-map configuration mode no Negate or set default values of a command <cr> 3750(config-pmap)#class ? WORD class-map name class-default System default class matching otherwise unclassified packets 3750(config-pmap)#class LOCK_SSH 3750(config-pmap-c)#? QoS policy-map class configuration commands: exit Exit from QoS class action configuration mode no Negate or set default values of a command police Police service-policy Configure QoS Service Policy set Set QoS values trust Set trust value for the class <cr> 3750(config-pmap-c)#set? set 3750(config-pmap-c)#police drop ^ % Invalid input detected at '^' marker. 3750(config-pmap-c)#police ? <8000-10000000000> Bits per second (postfix k, m, g optional; decimal point allowed) aggregate Choose aggregate policer for current class Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 3 января, 2017 (изменено) · Жалоба ip local policy route-map RM_Traceroute route-map RM_Traceroute permit 10 match ip address ACL_Traceroute set interface Null0 ! ip access-list extended ACL_Traceroute deny icmp any host 84.x.y.z permit icmp host 62.x.y.z any permit icmp host 87.x.y.z any ACL обратная - советую попробовать такой вариант. то есть все что в дени - разрешается, то что в пермите - запретиться. такой вариант блокирует пакеты и не отправляет в процессор - проверяли на 6500 Изменено 3 января, 2017 пользователем artplanet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба artplanet, спасибо, сейчас опробую предложенный вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба а через policy-map я так понимаю не заблокировать порт 22 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 3 января, 2017 · Жалоба а через policy-map я так понимаю не заблокировать порт 22 ? все зависит от ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 3 января, 2017 · Жалоба access-list 112 permit tcp any any eq 22 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 4 января, 2017 · Жалоба access-list 112 permit tcp any any eq 22 должно работать - но опять же - мы проверяли на 6500 серии, на 3750 не уверены что заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 4 января, 2017 · Жалоба Да, к моему сожалению на 3750 не взлетело... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 10 января, 2017 · Жалоба И не взлетит. Для начала loopback - интерфейс виртуальный, реально трафик принимается на vlanif. Кроме того по идее 3750 не умеет фильтровать пакеты, нацеленные в control plane, при помощи acl общего назначения в принципе. И COPP на этой модели тоже, насколько помнится, нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба sexst, на одном забугровском форуме было сказано так, что ACL правила на loopback'е не будут работать потому, что коммутатор считает маршруты до loopback'а за свои собственные. А свои внутренние служебные маршруты от не банит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 11 января, 2017 · Жалоба Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Я дико извиняюсь, но какая связь между лупбеком свича на работе и IP дома? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба Ув. форумчане! читайте тему полностью и внимательно, и тогда подобные вопросы сами по себе отпадут. zi_rus, за что ему отделено спасибо, предложил вариант повесить ACL на vty и прописать там домашний IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...