V1talya Posted April 22, 2008 Posted April 22, 2008 (edited) C цисками только начал работать... Как лучше и правильней реализовывать access-list`ы ? Пока сделал вот так: ( нужно было со стороны ISP закрыть доступ к PPTP SSH и разрешить только некоторым хостам соединятся с BGP ) interface GigabitEthernet0/0 description Connect to ISP ip address 87.226.XX.YY 255.255.255.252 ip access-group in_Gi0/0 in ip access-list extended in_Gi0/0 remark "Deny connect to SSH & PPTP" deny tcp any host 87.226.XX.YY eq 22 deny tcp any host 87.226.XX.YY eq 1723 remark "Deny&Permit connect to BGP" permit tcp host 87.226.XX.XX host 87.226.XX.YY eq bgp permit tcp host 87.226.XX.XX host 87.226.XX.YY eq bgp deny tcp any host 87.226.XX.YY eq bgp log permit ip any any Может можно как-то удобней и лучше это делать ? И если таким способом пользоваться то как например потом добавить между remark "Deny connect to SSH & PPTP" и remark "Deny&Permit connect to BGP" еще одно правило ? Вот сейчас стал делать access-list на другой интерфейс и забыл в начале поставить remark, можно ли не переделывая весь access-list поставить remark ip access-list extended in_Gi0/1 ВОТ СЮДА deny tcp any host 195.28.XX eq 1723 deny tcp any host 195.28.XX.XX eq bgp permit tcp host 195.28.XX.XX host 195.28.XX.XX eq 22 deny tcp any host 195.28.XX.XX eq 22 deny icmp any any fragments permit ip any any Блин как удобно в iptables работать :))) Edited April 22, 2008 by V1talya Вставить ник Quote
EvilX Posted April 22, 2008 Posted April 22, 2008 Номера правил придуманы ещё лет 6 назад. Вставить ник Quote
V1talya Posted April 24, 2008 Author Posted April 24, 2008 (edited) Если ли в Cisco в access-list`ах параметр как во ipfw me ? а то блин ип изменится на интерфейсе и придется половину правил перебирать... Edited April 24, 2008 by V1talya Вставить ник Quote
leveler Posted April 28, 2008 Posted April 28, 2008 Не видел такого. Но процесс перебора можно частично автоматизировать с помощью обычного блокнота (a.k.a. notepad). Вставить ник Quote
V1talya Posted April 28, 2008 Author Posted April 28, 2008 Можно ли для PPTP указать на каком интерфейсе слушать ? а то он зараза на всех интерфейсах слушает что не есть гуд... Вставить ник Quote
leveler Posted April 28, 2008 Posted April 28, 2008 А конфиг покажите, если не секрет. Вставить ник Quote
V1talya Posted April 28, 2008 Author Posted April 28, 2008 (edited) Current configuration : 4291 bytes ! ! Last configuration change at 15:04:49 Yakutsk Mon Apr 28 2008 by vitalya ! NVRAM config last updated at 14:35:23 Yakutsk Mon Apr 28 2008 by vitalya ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption no service dhcp ! hostname router ! boot-start-marker boot-end-marker ! logging buffered 51200 debugging logging console critical enable secret 5 00000 ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius ! aaa session-id common clock timezone Yakutsk 9 clock summer-time Yakutsk recurring last Sun Mar 2:00 last Sun Oct 3:00 no ip source-route no ip gratuitous-arps ! ! ip cef ! ! no ip bootp server ip domain name xx.ru ip name-server 195.xx.xx.xx ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh source-interface GigabitEthernet0/1 ip ssh version 2 no ip rcmd domain-lookup vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! voice-card 0 no dspfarm ! username vitalya password 7 000000 ! interface Loopback1 no ip address ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description Connect to ISP ip address 87.226.215.xx 255.255.255.xx ip access-group in_Gi0/0 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 description Connect to Servers ip address 195.xx.xx.xx 255.255.255.192 ip access-group in_Gi0/1 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1.2 description PPPoE & PPTP clients encapsulation dot1Q 2 ip address 192.168.0.2 255.255.224.0 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp shutdown no cdp enable ! interface Virtual-Template1 ip unnumbered Loopback1 ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ppp authentication chap ms-chap ms-chap-v2 ! router bgp 000000 no synchronization bgp log-neighbor-changes network 195.xx.xx.xx mask 255.255.xx.xx neighbor 87.226.xx.xx remote-as 00000 neighbor 87.226.xx.xx ebgp-multihop 10 neighbor 87.226.xx.xx remote-as 00000 no auto-summary ! ip route 0.0.0.0 0.0.0.0 87.226.215.xx ip route 87.226.129.xx 255.255.255.255 87.226.215.xx ip route 195.xx.xx.xx 255.255.xx.xx Null0 ! ! no ip http server no ip http secure-server ! ip access-list extended in_Gi0/0 deny tcp any host 87.226.215.xx eq 1723 deny tcp any host 195.xx.xx.xx eq 1723 permit tcp host 87.226.215.xx host 87.226.215.xx eq bgp permit tcp host 87.226.129.xx host 87.226.215.xx eq bgp deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.215.xx eq bgp log permit ip any any ip access-list extended in_Gi0/1 deny tcp any host 195.xx.xx.xx eq 1723 deny tcp any host 87.xx.xx.xx eq 1723 deny tcp any host 195.xx.xx.xx eq bgp deny tcp any host 87.226.xx.xx eq bgp deny icmp any any fragments permit ip any any ! ip radius source-interface GigabitEthernet0/1 access-list 8 permit 195.xx.xx.xx access-list 10 permit 195.xx.xx.xx snmp-server community 0000 RW 8 no cdp run ! radius-server attribute 31 mac format ietf radius-server configure-nas radius-server host 195.xx..xx.xx auth-port 1812 acct-port 1813 radius-server timeout 30 radius-server key 7 0000 radius-server vsa send accounting radius-server vsa send authentication ! control-plane ! line con 0 line aux 0 line vty 0 4 access-class 10 in transport input ssh ! scheduler allocate 20000 1000 ntp clock-period 17180047 ntp peer 83.222.4.154 ! end Вообще надо будет что б pptp слушал только на Gi0/1.2 ? и как бы такое же провернуть только с BGP что б он только слушал на Gi0/0 ? Edited April 28, 2008 by V1talya Вставить ник Quote
leveler Posted April 28, 2008 Posted April 28, 2008 1. Вроде нельзя такое же сделать как с pppoe (pppoe enable). А зачем такой гемор? Или пароли всем подряд раздаёте? Можете ACL'ем запретить порт (врде TCP 1723). 2. Про BGP не понял. =) Вставить ник Quote
V1talya Posted April 28, 2008 Author Posted April 28, 2008 1. Вроде нельзя такое же сделать как с pppoe (pppoe enable). А зачем такой гемор? Или пароли всем подряд раздаёте? Можете ACL'ем запретить порт (врде TCP 1723).2. Про BGP не понял. =) 1. что б защититься :), и что б небыло гемора с написанием acl`ов. я и так acl`ями сейчас запрещаю 1723 порт... ( ну вот зачем мне pptp на всех адресах :) ) 2. Ну что б BGP слушал только на int Gi0/0 а на остальных свой tcp 179 порт не открывал, что б удобней acl писать было... Вставить ник Quote
leveler Posted April 28, 2008 Posted April 28, 2008 1. Ну я прям не знаю. А без pptp обойтись нельзя? Например pppoe? Или сделайте на худой конец pptp на серых адресах + НАТ - тогда точно от соседей ничего не прийдёт. 2. Что заначит "слушал"? У вас пир может вылезти из локалки? Это как? :) Общайтесь с пиром через лупбэк. Не так уж и много трафика там будет. Да и рулить проще. Вставить ник Quote
V1talya Posted April 29, 2008 Author Posted April 29, 2008 1. Ну я прям не знаю. А без pptp обойтись нельзя? Например pppoe? Или сделайте на худой конец pptp на серых адресах + НАТ - тогда точно от соседей ничего не прийдёт.2. Что заначит "слушал"? У вас пир может вылезти из локалки? Это как? :) Общайтесь с пиром через лупбэк. Не так уж и много трафика там будет. Да и рулить проще. 1. пока нельзя обойтись без него... 2. "Общайтесь с пиром через лупбэк." - а можно с этого места по подробней ? Вставить ник Quote
leveler Posted April 29, 2008 Posted April 29, 2008 1. Ну так пока и не заморачивайтесь. 2. http://slil.ru/25740246 - В книжке Cisco.Press.CCNP.BSCI.Portable.Command.Guide.May.2007.pdf стр. 101 (eBGP Multihop) прямо с самого верха. Изучайте обе книги на предмет BGP. Ключевое слово для работы через лупбек - neighbor <ip-addres> update-source <interface>. Есть ещё у Цыски целые курсы по BGP и целиком посвещённые книги. Ещё есть видео-курсы (CBT Nuggets, Train Signal). Вставить ник Quote
LordFAntom Posted April 29, 2008 Posted April 29, 2008 не проще перевернуть ip access-list extended in_Gi0/1 permit tcp host 195.28.XX.XX host 195.28.XX.XX eq 22 deny ip any any log вот так проще Вставить ник Quote
V1talya Posted April 29, 2008 Author Posted April 29, 2008 1. Ну так пока и не заморачивайтесь.2. http://slil.ru/25740246 - В книжке Cisco.Press.CCNP.BSCI.Portable.Command.Guide.May.2007.pdf стр. 101 (eBGP Multihop) прямо с самого верха. Изучайте обе книги на предмет BGP. Ключевое слово для работы через лупбек - neighbor <ip-addres> update-source <interface>. Есть ещё у Цыски целые курсы по BGP и целиком посвещённые книги. Ещё есть видео-курсы (CBT Nuggets, Train Signal). 2. Спасибо, почитаю... не проще перевернуть ip access-list extended in_Gi0/1 permit tcp host 195.28.XX.XX host 195.28.XX.XX eq 22 deny ip any any log вот так проще проще не значит лучше :)), да и устраивает пока меня моя схема... Вставить ник Quote
SergeiK Posted April 29, 2008 Posted April 29, 2008 По существу первого вопроса: 1. ACL для cisco лучше держать на TFTP сервер, там их править любым редактором, как нравиться, писать любые комментарии (как remark для записи в конфиг кошки так и ! только в редакторе) потом командой copy tftp run заливать на кошку. Не забыть первой строкой поставить no ip access-list ex .... а последней - end. 2. Понятия me нету, зато есть возможность ставить отдельные ACL на отдельные интерфейсы, или группы интерфейсов, отдельно на вхо и на выход. Например, пишете ACL - запретить все ненужное (SNMP, MS порты, SSH, PPTP, прокси, еще что-то на выбор со всех адресов на ВСЕ адреса ), открыть все остальное и ставите этот ACL на всех внешних интерфейсах. Вставить ник Quote
V1talya Posted April 29, 2008 Author Posted April 29, 2008 По существу первого вопроса:1. ACL для cisco лучше держать на TFTP сервер, там их править любым редактором, как нравиться, писать любые комментарии (как remark для записи в конфиг кошки так и ! только в редакторе) потом командой copy tftp run заливать на кошку. Не забыть первой строкой поставить no ip access-list ex .... а последней - end. 2. Понятия me нету, зато есть возможность ставить отдельные ACL на отдельные интерфейсы, или группы интерфейсов, отдельно на вхо и на выход. Например, пишете ACL - запретить все ненужное (SNMP, MS порты, SSH, PPTP, прокси, еще что-то на выбор со всех адресов на ВСЕ адреса ), открыть все остальное и ставите этот ACL на всех внешних интерфейсах. 1. Интересно... почитаю на эту тему... Спасибо Вставить ник Quote
leveler Posted April 30, 2008 Posted April 30, 2008 One ACL per interface, per direction, per protocol - это так у Цыски называется. =) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.