Cisco ASR - reflexive ACL как?

[nixx]

встал на ручник, не могу догуглиться до истины )

хочу позакрывать входящие коннекты к NAT'у, поднятому на ASR.

наиболее логичным мне видится использование Reflexive ACL

вот только в ASR этот вид ACL не завезли

 

в связи с этим вопрос к цисковедам - что такое "ENH" в нижнем комменте по ссылке (никак не могу расшифровать), либо как иначе можно закрыться от всех входящих коннектов в адреса ната, которые не established изнутри из-под ната?

 

самое простое было бы - если б кто-то с цискологином зашел в https://bst.cisco.com/quickview/bug/CSCvn75709 и поделился содержимым.

Edited August 8, 2024 by nixx

[VolanD666]

Чет я не понял. Ну вот есть НАТ на адресе. Если в таблице нет трансляции и на этот адрес-порт стучится бот, то что?

[nixx]

...то qfp 99% при 2,7 Mpps входящего паразитного.

[VolanD666]

1 час назад, nixx сказал:

...то qfp 99% при 2,7 Mpps входящего паразитного.

Дык это надо CoPP настраивать. Ну и плюс на сервисах самого ASR у вас же висят ACLи и в Инет они же не смотрят?

 

Хотя если QFP.. странно

[nixx]

при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю.

 

как CoPP соотносится с загрузкой qfp, который data plane?

можете на пальцах или в мануал потыкать?

с софт-процессором же control plane у меня как раз все радужно, не выше 3%.

 

и про какие сервисы самого ASR речь? у меня там кроме телнета/радиуса/snmp на отдельном физ интерфейсе/vrf'е, вообще ничего нет, и они недостижимы извне в принципе.

[VolanD666]

4 минуты назад, nixx сказал:

при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю.

Да нет, это я что-то сразу не подумал про QFP.

 

1 минуту назад, nixx сказал:

как CoPP соотносится с загрузкой qfp, который data plane?

Вы считаете, что это из-за паразитного трафика на NAT адреса? А адрес прям прописан на инт-се или там просто трансляция в конфиге? Если на инт-се и нет трансляции по идее это уже адрес самого роутера и трафик должен лететь на CPU. Может НАТ как-то не так настроен?

 

У меня просто был NATна ASR, но с этим проблем не было. Может дело в прошивке?

[nixx]

просто трансляция в конфиге, сами адреса нигде не вписаны, кроме нат-пула.

то, что я ловлю tcpdump'ом на бордере выше ASR - это сплошь входящий трафик на адреса ната, причем и на те, в которые сама циска никого не занатила (ну т.е. просто свободные от сессий)

в предыдущие атаки циске было абсолютно плевать на подобный трафик, да и сами атаки быстро сворачивались по причине того, что циска им ничего не отвечала, ну и ппс был достаточно мелкий.

сейчас она тоже ничего не отвечает, но ее безостановочно долбят с большим ппсом совершенно рандомным трафиком, и она оху... уходит в себя.

 

(оффтопик) подозреваю, что в работе уже не it army, а кто-то еще типа ркн/цмуссопа... (ну это личная паранойя по принципу "кому выгодно"). либо эта самая it army сменила стратегию. раньше они быстро отваливались, если им в ответ было просто молчание.

[BOJIKA]

packet-trace'ом на этот флуд смотрел?

какая версия софта?

[zhenya`]

Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside.

[sirmax]

30 минут назад, zhenya` сказал:

Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside.

а решение есть? 
 

[nixx]

Цитата

Symptom: CLI for Reflexive acls not present

Conditions: CLI to configure reflexive acls missing

Workaround: use ZBFW instead

(c) https://bst.cisco.com/bugsearch/bug/CSCvn75709

я таки осилил изобразить из себя американца с цискологином.

но что такое "ENH" - так и осталось непонятым (для меня). либо это что-то "Enhanced", и такого в списке фич асрки чуть ли не тысяча разного, либо это какая-то аббревиатура, и тогда я не могу найти/сопоставить.

пойду ZBFW постигать... поможет ли? )

 

ps: asr1002x-universalk9.16.09.08.SPA.bin, если кому-то почему-то интересно. Feature navigator уверяет, что Reflexive ACL в ветках 16 и 17 присутствуют )) но их там нет.

Edited August 11, 2024 by nixx

[sdy_moscow]

Попробуйте вместо ASR софтовый ANAT.

У вас какая ASR стоит?

 

[sdy_moscow]

P.S. Одна правда проблемка.... поскольку АНАТ - CGNAT, то мусор будет сыпаться на клиентов. Но кстати допилить его до "полного" ната при желании можно без проблем, только не знаю будет ли это быстрее коннтрака (исходники его не смотрел).

[nixx]

32 минуты назад, sdy_moscow сказал:

Попробуйте вместо ASR софтовый ANAT.

У вас какая ASR стоит?

1002-X у меня.

я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден.

[sdy_moscow]

26 минут назад, nixx сказал:

1002-X у меня.

я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден.

Смотря какие задачи решаете... если НАТ в качестве Файрвола - то да, если же работаете в качестве оператора - то сложно сказать, что лучше и правильнее. Допилить до фильтрации по IP адресам АНАТ в общем-то не так сложно, разве что придется чуть помудрить с созданием сессий и как следствие расход портов на клиента подрастет.