Evgeniy Rychkov Опубликовано 2 января · Жалоба Здравствуйте. Цитата а Access-group только in бывают, это прямо гвоздями прибито? Нет, зависит от модели коммутатора Цитата и в нумерованных, да и в других, ACL никаких ремарок нет? Ремарок нет Цитата и всякие established интересуют, собственно есть ли какой-либо аналог "access-list 100 permit tcp 10.3.80.0 0.0.0.255 10.10.29.0 0.0.0.255 established"? Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования, по моему есть. Попробуйте пройтись по листам, посоздавать их, различные варианты посмотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 2 января (изменено) · Жалоба С наступившим! Цитата Попробуйте пройтись по листам как-то там вариантов слишком много. как пример, вот что мне выводит из вариантов SNR-S2995G-12FX(config-ip-ext-nacl-syste-access)#permit tcp any-source any-destination ? ack Match on the ACK bit d-port Destination port dscp Match packets with given Dscp value fin Match on the FIN bit precedence Match packets with given precedence value psh Match on the PSH bit rst Match on the RST bit syn Match on the SYN bit time-range Time range tos Match packets with given TOS value urg Match on the URG bit <cr> я вариантов как открыть доступ по инициализации сессии из сети 1 в сеть 2, при этом запретив создавать сессию из сети 2 не вижу. может что-то подскажите. собственно банальная задача. есть две сети 1 и 2. нужно пользователям сети 1 разрешить tsp в сеть 2. пользователям сети 2 запретить tsp (да и в принципе весь ip) в сеть 1. никак не найду как это сделать на s2995g. Изменено 2 января пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 2 января · Жалоба Цитата может что-то подскажите. Здравствуйте. Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования Также, не совсем понятно, если пользователям надо запретить IP любой из сети 2 в сеть 1, то почему нельзя просто создать лист с deny IP any any? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 2 января (изменено) · Жалоба Цитата Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования понял, подождем. Цитата Также, не совсем понятно, если пользователям надо запретить IP любой из сети 2 в сеть 1, то почему нельзя просто создать лист с deny IP any any? потому что deny ip (tcp) net-2 net-1 убьет и обратный трафик для разрешенного tcp из 1ой сети во 2ю. еще раз, задача разрешить устанавливать tcp сессию из 1ой во 2ю сеть, запретив инициировать tcp сессию из 2ой в 1ю. собственно аналог цискиной established. в принципе, если не ошибаюсь, в обратном трафике не может быть ack=1 или rst=1. в теории можно эти флаги отлавливать и банить. но все равно не понимаю как это прикрутить к 2995g, хотя там и есть "access-list 200 deny tcp any-source any-destination ack rst" но что-то не вижу для них параметров. Изменено 2 января пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января · Жалоба Всех с прошедшими! праздники закончились, идеи по вопросу не появились? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 9 января · Жалоба Здравствуйте. Цитата праздники закончились, идеи по вопросу не появились? Пока нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января (изменено) · Жалоба Цитата Пока нет Хорошо вам. 🙂 это вы святки до 19 будете праздновать? хотя тут подумал. это у вас праздники не закончились или идей нет? ) Изменено 9 января пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeniy Rychkov Опубликовано 9 января · Жалоба Цитата еще раз, задача разрешить устанавливать tcp сессию из 1ой во 2ю сеть, запретив инициировать tcp сессию из 2ой в 1ю. собственно аналог цискиной established. ip access-list extended test deny tcp any-source any-destination syn exit ! Коммутатор 2995 может подключиться по телнет к 2982, в то время как 2982 нет. Находятся в одной подсети, во влане 77. Если убрать аксесс лист, то оба могут друг к другу по телнет подключиться. У вас может возникнуть вопрос: но ведь при установке TCP сессии 2995 отправляет SYN, а 2982 отвечает ему ACK,SYN, тогда почему данный пакет все равно проходит, ведь у нас фильтруются пакеты от 2982 в том числе и по флагу SYN. 2995 смотрит на флаги, которые есть в поступающем пакете, если там только флаг SYN, то отбрасывается, если SYN и какой-то другой, то нет, например, если создать такой аксесс лист: ip access-list extended test deny tcp any-source any-destination syn ack exit ! То 2995 не сможет установить сессию с 2982, т.к. фильтруется и SYN и ACK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января · Жалоба Цитата У вас может возникнуть вопрос хм... интересная логика. спасибо, попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января · Жалоба кстати, такой вопрос: у вас можно несколько acl навешивать на svi, а как они в таком случае обрабатываются, в какой последовательности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 9 января · Жалоба @batuy, здравствуйте. Нет возможности повесить ACL на SVI, только на физический порт. Либо использовать функционал VACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января · Жалоба Цитата только на физический порт так, это я не внимательно прочитал. получается это мне нужно vacl вешать на вланы по всем свичам на которых эти вланы есть? что-то не соображу топологию. или достаточно vacl повесить на vlan только на свиче где эти вланы имеют интерфейсы? хотя, судя по тому, что vacl, видимо, один черт привязывается к портам придется по всем свичам распространять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 9 января (изменено) · Жалоба похоже достаточно только на центральном свиче vacl вешать (судя по тесту). да, конструкция: ip access-list extended test deny tcp any-source any-destination syn exit работает как и хотелось, еще раз спасибо. подумал что acl можно на svi вешать из-за доки в вашей вики: Цитата Access-group - это описание привязки ACL к входящему направлению трафика на конкретном интерфейсе. слово "интерфейс" как бы намекает и весьма однозначно. также в вики упоминается Цитата правила и действия по умолчанию однако нигде не нашлось что это за правила и действия по умолчанию? как в циске deny any any? остался вопрос, если на порту или vlan навешано несколько acl (уже не найду где видел, но в вики есть упоминание нескольких acl на одной сущности) в какой последовательности они обрабатываются? Изменено 9 января пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 9 января · Жалоба Добрый день, @batuy! ACL обрабатываются в следующем порядке: 1) Userdefined ACL 2) IPv6 ACL 3) MAC-IP ACL 4) IP ACL 5) MAC ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба Цитата ACL обрабатываются в следующем порядке: ясно. еще вопрос: как vacl влияет на трафик внутри vlan к которому он применен? и что в этом случае считается in, а что out? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января (изменено) · Жалоба есть 1 vlan в нем находится комп, интерфейс роутера и интерфейс SNR-S2995. комп подключен к 1 порту SNR-S2982 между свичами транк. SNR-S2982 Interface Ethernet1/0/1 lldp transmit med tlv capability lldp transmit med tlv networkPolicy lldp transmit med tlv inventory network policy voice tag tagged vid 80 switchport mode trunk switchport trunk allowed vlan 1;80 Interface Ethernet1/0/25 switchport mode trunk SNR-S2995 Interface Ethernet1/0/1 description To Old Lan Interface Ethernet1/0/5 description To SNR switchport mode trunk interface Vlan1 description Old Lan ip address 192.168.0.50 255.255.255.0 ip route 0.0.0.0/0 192.168.0.1 ip access-list extended Old_Net_Zero deny tcp any-source 10.1.100.0 0.0.0.255 syn permit tcp any-source 10.1.100.0 0.0.0.255 deny tcp any-source any-destination d-port 22 deny tcp any-source any-destination d-port 23 permit icmp any-source any-destination 0 deny icmp any-source 10.0.0.0 0.255.255.255 permit icmp any-source any-destination permit tcp any-source any-destination d-port 53 permit udp any-source any-destination d-port 53 permit tcp any-source s-port 53 any-destination permit udp any-source s-port 53 any-destination permit tcp any-source any-destination d-port 80 permit tcp any-source any-destination d-port 443 deny ip any-source any-destination exit vacl ip access-group Old_Net_Zero in vlan 1 как только применяю vacl к 1 vlan перестает работать www. да, комп 192.168.0.100, роутер 192.168.0.1 Изменено 10 января пользователем batuy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба при этом есть еще vlan 100 (10.1.100.0/24 через роутинг уходит в 192.168.0.1 и далее) и трафик из этой сети обрабатывается понятно. убираем permit tcp any-source 10.1.100.0 0.0.0.255 tcp (в том числе www) работать перестает. а вот на трафик внутри 1 vlan vacl как-то не адекватно влияет. в моем понимании он вообще не должен вмешиваться в трафик внутри влана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 10 января · Жалоба @batuy, давайте по-порядку. 1. Quote еще вопрос: как vacl влияет на трафик внутри vlan к которому он применен? и что в этом случае считается in, а что out? Несовсем понятен вопрос. VACL распространяется на все порты, куда выдан определенный VLAN (к которому хотим применить правила). Как вы настроите правила, так они и будут работать. 2. Quote как только применяю vacl к 1 vlan перестает работать www. да, комп 192.168.0.100, роутер 192.168.0.1 Предполагаю, что схема у вас следующая (я не знаю вашей сети, поэтому без каких-либо деталей могу лишь делать предположения): ПК (192.168.0.100) --- порт 1/0/1 --- S2982G --- порт 1/0/25 --- порт 1/0/5 --- S2995G --- магистраль --- шлюз (192.168.0.1). Все это находится в одном VLAN (VLAN 1). Предполагаю, что под WWW вы имеете в виду внешнюю сеть (а именно веб-страницы, т.е. порты 80 для HTTP и 443 для HTTPS). ПК отправляет пакет, на какой-то внешний IP-адрес (пусть будет 8.8.8.8 для примера) по HTTP/HTTPS. Маршрута конкретного до данного адреса у него нет, поэтому коммутатор отправляет пакет на маршрут по умолчанию. Смотрим ваш access-list: ip access-list extended Old_Net_Zero deny tcp any-source 10.1.100.0 0.0.0.255 syn permit tcp any-source 10.1.100.0 0.0.0.255 deny tcp any-source any-destination d-port 22 deny tcp any-source any-destination d-port 23 permit icmp any-source any-destination 0 deny icmp any-source 10.0.0.0 0.255.255.255 permit icmp any-source any-destination permit tcp any-source any-destination d-port 53 permit udp any-source any-destination d-port 53 permit tcp any-source s-port 53 any-destination permit udp any-source s-port 53 any-destination permit tcp any-source any-destination d-port 80 permit tcp any-source any-destination d-port 443 deny ip any-source any-destination exit vacl ip access-group Old_Net_Zero in vlan 1 "deny tcp any-source 10.1.100.0 0.0.0.255 syn" - под это правило не попадает наш внешний адрес "permit tcp any-source 10.1.100.0 0.0.0.255" - под это правило тоже не попадает наш адрес "deny tcp any-source any-destination d-port 22" - SSH нам тоже не подходит "deny tcp any-source any-destination d-port 23" - как и telnet "permit icmp any-source any-destination" "deny icmp any-source 10.0.0.0 0.255.255.255" "permit icmp any-source any-destination" - как и ICMP "permit tcp any-source any-destination d-port 53" "permit udp any-source any-destination d-port 53" "permit tcp any-source s-port 53 any-destination" "permit udp any-source s-port 53 any-destination" - DNS нам, условно, тоже не нужен И вот мы добрались до следующих правил: "permit tcp any-source any-destination d-port 80" "permit tcp any-source any-destination d-port 443" Пакет, предназначенный веб-серверу прилетел от клиента (с какого-то динамического порта, пусть будет, опять же для примера, 60080) на коммутатор S2995G и улетел во внешнюю сеть (на шлюз). Ведь согласно правилам мы его пропускаем, т.к. dst.port 80/443. Но когда пакет прилетает обратно, он должен быть направлен опять же на этот условный tcp порт 60080. Поскольку VACL распространяется на все порты, куда выдан этот VLAN, и он у нас на IN, то как только пакет придет от шлюза на S2995G, он также будет подвергнут обработке и эти два правила он не пройдет, т.к. d-port у нас не 80/443 (ведь VLAN 1 у вас выдан везде). Поэтому остается последнее правило в ACL: "deny ip any-source any-destination". Соответственно пакет будет отброшен. 3. Quote при этом есть еще vlan 100 (10.1.100.0/24 через роутинг уходит в 192.168.0.1 и далее) и трафик из этой сети обрабатывается понятно. убираем Здесь опять же наверняка не могу сказать, потому что не знаю точно, в каком VLAN у вас находится шлюз и вообще тополгию сети. Может быть у вас происходит перекладка маршрутов из VLAN100 во VLAN1 и наоборот, а вы убираете единственное подходящее правило из ACL для VLAN100. Попробуйте самостоятельно провести анализ, вы же знаете свою сеть, видите свои настройки оборудования. Возьмите абстрактный пакет с каким-то IP-адресом назначения и tcp портами, и сначала проанализируйте, как он будет обработан на IN при поступлении на S2995G от клиента и при поступлении от шлюза. Если у вас возникают какие-то проблемы в работе оборудования, и считаете что оборудование работает некорректно, и при этом не получится разобраться самостоятельно - можете обратиться к нам на nag.support. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба Цитата Поскольку VACL распространяется на все порты так, с этим стало понятнее поведение vacl. но отсюда вопрос: если на свиче нет ни одного порта, например, в vlan 100, но при этом есть svi для этого влан. так понимаю если на vlan 100 навесить vacl трафик никак обрабатываться не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 10 января · Жалоба Если VLAN никуда не выданы, соответствующий SVI интерфейс будет в DOWN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба Цитата Если VLAN никуда не выданы, соответствующий SVI интерфейс будет в DOWN. Interface Ethernet1/0/25 switchport mode trunk такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге. и со всем вышесказанным, мне не понятно отличие in от out vacl. они будут идентично работать, от слова совсем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 10 января · Жалоба Quote такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге. Нет, не считается. У вас же нет этого VLAN на коммутаторе. "switchport mode trunk" на порту без указания каких-то разрешенных VLAN, разрешает вообще ВСЕ VLAN на порту, которые существуют на коммутаторе. Если их нет, то и на порту они разрешены не будут. Quote и со всем вышесказанным, мне не понятно отличие in от out vacl. они будут идентично работать, от слова совсем. Почему идентично? VACL IN - оказывает влияние на трафик, поступающий на порты (где выдан VLAN), VACL OUT - оказывает влияние на трафик, который должен быть отправлен с порта. Ознакомтесь, пожалуйста, с документацией, возможно найдете ответы на какие-то свои вопросы: https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/10-Security Function Configuration.pdf https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/10-Commands for Security Function.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба Цитата Нет, не считается. точно? тогда как такое объяснить? SNR-S2995-12FX#sh interface Vlan80 Vlan80 is up(0), line protocol is up, dev index is 11080 Device flag 0x1003(UP BROADCAST MULTICAST) Time since last status change:0w-0d-4h-40m-58s (16858 seconds) IPv4 address is: 192.168.80.1 255.255.255.0 (Primary) VRF Bind: Not Bind Hardware is EtherSVI, address is f8-f0-82-d2-6a-a3 MTU is 1500 bytes , BW is 0 Kbit Encapsulation ARPA, loopback not set 5 minute input rate 3095 bits/sec, 3 packets/sec 5 minute output rate 4123 bits/sec, 2 packets/sec The last 5 second input rate 1354 bits/sec, 1 packets/sec The last 5 second output rate 1469 bits/sec, 1 packets/sec SNR-S2995-12FX# SNR-S2995-12FX#sh vlan id 80 VLAN Name Type Media Ports ---- ------------ ---------- --------- ---------------------------------------- 80 Voip Static ENET Ethernet1/0/2(T) Ethernet1/0/5(T) как можно заметить 1/0/2 и 1/0/5 транковые порты без указания каких-то разрешенных vlan Interface Ethernet1/0/2 switchport mode trunk ! Interface Ethernet1/0/5 description To SNR switchport mode trunk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vladimir Efimtsev Опубликовано 10 января · Жалоба Что нужно объяснить? Вы спрашивали: Quote "такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге." Еще раз: "при отсутствии в конфиге". Я понимаю эту фразу так, что VLAN вообще нет на коммутаторе (не создан глобально). И я ответил на ваш вопрос: Quote "switchport mode trunk" на порту без указания каких-то разрешенных VLAN, разрешает вообще ВСЕ VLAN на порту, которые существуют на коммутаторе. Если их нет, то и на порту они разрешены не будут. Если нет VLAN на коммутаторе (ВООБЩЕ), то и на порту их нет. НО если они есть на коммутаторе, и если на порту только такая конфигурация: "switchport mode trunk" (без указания конкретных VLAN), в таком случае да, этот VLAN выдан на порту, и на него также может распространяться действие ACL (в зависимости от настройки). Это стандартное поведение коммутатора. В вашем примере да, эти VLAN есть на коммутаторе, есть настройка на порту: "switchport mode trunk" (без указания конкретных VLAN), тогда да, конечно трафик и ACL распросняются на эти VLAN на этих портах. Формулируйте, пожалуйста, точнее вопросы, потому что без какой-то конкретики, сложно догадываться о чем вы пишите, можно не так понять вопрос, как в случае выше. И как уже говорил, по объемным вопросам лучше писать на nag.support. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
batuy Опубликовано 10 января · Жалоба Цитата Еще раз: "при отсутствии в конфиге". ага, тогда все понятно. я же писал: Цитата такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге. и на мой вопрос вы ответили: Нет, не считается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...