[Evgeniy Rychkov]

Здравствуйте.

 

Цитата

а Access-group только in бывают, это прямо гвоздями прибито?

Нет, зависит от модели коммутатора

 

Цитата

и в нумерованных, да и в других, ACL никаких ремарок нет?

Ремарок нет

 

Цитата

и всякие established интересуют, собственно есть ли какой-либо аналог "access-list 100 permit tcp 10.3.80.0 0.0.0.255 10.10.29.0 0.0.0.255 established"?

Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования, по моему есть. Попробуйте пройтись по листам, посоздавать их, различные варианты посмотреть.

[batuy]

С наступившим!

Цитата

Попробуйте пройтись по листам

как-то там вариантов слишком много.

как пример, вот что мне выводит из вариантов

SNR-S2995G-12FX(config-ip-ext-nacl-syste-access)#permit tcp any-source any-destination ?
  ack         Match on the ACK bit
  d-port      Destination port
  dscp        Match packets with given Dscp value
  fin         Match on the FIN bit
  precedence  Match packets with given precedence value
  psh         Match on the PSH bit
  rst         Match on the RST bit
  syn         Match on the SYN bit
  time-range  Time range
  tos         Match packets with given TOS value
  urg         Match on the URG bit
  <cr>

я вариантов как открыть доступ по инициализации сессии из сети 1 в сеть 2, при этом запретив создавать сессию из сети 2 не вижу.

может что-то подскажите.

 

собственно банальная задача.

есть две сети 1 и 2.

нужно пользователям сети 1 разрешить tsp в сеть 2.

пользователям сети 2 запретить tsp (да и в принципе весь ip)  в сеть 1.

никак не найду как это сделать на s2995g.

Изменено 2 января пользователем batuy

[Evgeniy Rychkov]

Цитата

может что-то подскажите.

Здравствуйте.

Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования

 

Также, не совсем понятно, если пользователям надо запретить IP любой из сети 2 в сеть 1, то почему нельзя просто создать лист с deny IP any any?

 

[batuy]

Цитата

Сейчас проходят праздники, с ходу не подскажу, нет доступа до оборудования

понял, подождем.

Цитата

Также, не совсем понятно, если пользователям надо запретить IP любой из сети 2 в сеть 1, то почему нельзя просто создать лист с deny IP any any?

потому что deny ip (tcp) net-2 net-1 убьет и обратный трафик для разрешенного tcp из 1ой сети во 2ю.

еще раз, задача разрешить устанавливать tcp сессию из 1ой во 2ю сеть, запретив инициировать tcp сессию из 2ой в 1ю. собственно аналог цискиной established.

 

в принципе, если не ошибаюсь, в обратном трафике не может быть ack=1 или rst=1. в теории можно эти флаги отлавливать и банить.

но все равно не понимаю как это прикрутить к 2995g, хотя там и есть "access-list 200 deny tcp any-source any-destination ack rst" но что-то не вижу для них параметров.

 

Изменено 2 января пользователем batuy

[batuy]

Всех с прошедшими!

праздники закончились, идеи по вопросу не появились?

[Evgeniy Rychkov]

Здравствуйте.

 

Цитата

праздники закончились, идеи по вопросу не появились?

Пока нет

[batuy]

Цитата

Пока нет

Хорошо вам. 🙂

это вы святки до 19 будете праздновать?

хотя тут подумал. это у вас праздники не закончились или идей нет? )

Изменено 9 января пользователем batuy

[Evgeniy Rychkov]

Цитата

еще раз, задача разрешить устанавливать tcp сессию из 1ой во 2ю сеть, запретив инициировать tcp сессию из 2ой в 1ю. собственно аналог цискиной established.

ip access-list extended test                                                                                                                                                                
  deny tcp any-source any-destination syn                                                                              
  exit                                                                                                                 
!

 

 

Коммутатор 2995 может подключиться по телнет к 2982, в то время как 2982 нет. Находятся в одной подсети, во влане 77.

Если убрать аксесс лист, то оба могут друг к другу по телнет подключиться.

У вас может возникнуть вопрос: но ведь при установке TCP сессии 2995 отправляет SYN, а 2982 отвечает ему ACK,SYN, тогда почему данный пакет все равно проходит, ведь у нас фильтруются пакеты от 2982 в том числе и по флагу SYN.

 

2995 смотрит на флаги, которые есть в поступающем пакете, если там только флаг SYN, то отбрасывается, если SYN и какой-то другой, то нет, например, если создать такой аксесс лист:

ip access-list extended test                                                                                                                                                                
  deny tcp any-source any-destination syn ack                                                                       
  exit                                                                                                                 
!

 

То 2995 не сможет установить сессию с 2982, т.к. фильтруется и SYN и ACK

[batuy]

Цитата

У вас может возникнуть вопрос

хм... интересная логика.

спасибо, попробую.

[batuy]

кстати, такой вопрос:

у вас можно несколько acl навешивать на svi, а как они в таком случае обрабатываются, в какой последовательности?

[Vladimir Efimtsev]

@batuy, здравствуйте.

Нет возможности повесить ACL на SVI, только на физический порт. Либо использовать функционал VACL.

[batuy]

Цитата

только на физический порт

так, это я не внимательно прочитал.

получается это мне нужно vacl вешать на вланы по всем свичам на которых эти вланы есть?

что-то не соображу топологию.

или достаточно vacl повесить на vlan только на свиче где эти вланы имеют интерфейсы?

хотя, судя по тому, что vacl, видимо, один черт привязывается к портам придется по всем свичам распространять?

[batuy]

похоже достаточно только на центральном свиче vacl вешать (судя по тесту).

да, конструкция:

ip access-list extended test                                                                                                                                                                
  deny tcp any-source any-destination syn                                                                              
  exit       

работает как и хотелось, еще раз спасибо.

 

подумал что acl можно на svi вешать из-за доки в вашей вики:

Цитата

Access-group - это описание привязки ACL к входящему направлению трафика на конкретном интерфейсе.

слово "интерфейс" как бы намекает и весьма однозначно.

также в вики упоминается 

Цитата

правила и действия по умолчанию

  однако нигде не нашлось что это за правила и действия по умолчанию? как в циске deny any any?

 

 

остался вопрос, если на порту или vlan навешано несколько acl (уже не найду где видел, но в вики есть упоминание нескольких acl на одной сущности)  в какой последовательности они обрабатываются?

Изменено 9 января пользователем batuy

[Kozubsky Vladimir]

Добрый день, @batuy!

ACL обрабатываются в следующем порядке:

 

1) Userdefined ACL
2) IPv6 ACL
3) MAC-IP ACL
4) IP ACL
5) MAC ACL

[batuy]

Цитата

ACL обрабатываются в следующем порядке:

ясно.

еще вопрос: как vacl влияет на трафик внутри vlan к которому он применен? и что в этом случае считается in, а что out?

[batuy]

есть 1 vlan в нем находится комп, интерфейс роутера и интерфейс SNR-S2995.

комп подключен к 1 порту SNR-S2982

между свичами транк.

SNR-S2982
Interface Ethernet1/0/1
 lldp transmit med tlv capability
 lldp transmit med tlv networkPolicy
 lldp transmit med tlv inventory
 network policy voice tag tagged vid 80
 switchport mode trunk
 switchport trunk allowed vlan 1;80
Interface Ethernet1/0/25
 switchport mode trunk

SNR-S2995
Interface Ethernet1/0/1
 description To Old Lan
Interface Ethernet1/0/5
 description To SNR
 switchport mode trunk
interface Vlan1
 description Old Lan
 ip address 192.168.0.50 255.255.255.0
ip route 0.0.0.0/0 192.168.0.1
ip access-list extended Old_Net_Zero
  deny tcp any-source 10.1.100.0 0.0.0.255 syn
  permit tcp any-source 10.1.100.0 0.0.0.255
  deny tcp any-source any-destination d-port 22
  deny tcp any-source any-destination d-port 23
  permit icmp any-source any-destination 0
  deny icmp any-source 10.0.0.0 0.255.255.255
  permit icmp any-source any-destination
  permit tcp any-source any-destination d-port 53
  permit udp any-source any-destination d-port 53
  permit tcp any-source s-port 53 any-destination
  permit udp any-source s-port 53 any-destination
  permit tcp any-source any-destination d-port 80
  permit tcp any-source any-destination d-port 443
  deny ip any-source any-destination
  exit
vacl ip access-group Old_Net_Zero in vlan 1

как только применяю vacl к 1 vlan перестает работать www.

да, комп 192.168.0.100, роутер 192.168.0.1

 

Изменено 10 января пользователем batuy

[batuy]

при этом есть еще vlan 100 (10.1.100.0/24 через роутинг уходит в 192.168.0.1 и далее) и трафик из этой сети обрабатывается понятно. убираем

permit tcp any-source 10.1.100.0 0.0.0.255

tcp (в том числе www) работать перестает.

а вот на трафик внутри 1 vlan vacl как-то не адекватно влияет. в моем понимании он вообще не должен вмешиваться в трафик внутри влана.

[Vladimir Efimtsev]

@batuy, давайте по-порядку.

 

1.

Quote

еще вопрос: как vacl влияет на трафик внутри vlan к которому он применен? и что в этом случае считается in, а что out?

Несовсем понятен вопрос. VACL распространяется на все порты, куда выдан определенный VLAN (к которому хотим применить правила). Как вы настроите правила, так они и будут работать.

 

2.
 

Quote

 

как только применяю vacl к 1 vlan перестает работать www.

да, комп 192.168.0.100, роутер 192.168.0.1

 

Предполагаю, что схема у вас следующая (я не знаю вашей сети, поэтому без каких-либо деталей могу лишь делать предположения): ПК (192.168.0.100) --- порт 1/0/1 --- S2982G --- порт 1/0/25 --- порт 1/0/5 --- S2995G --- магистраль --- шлюз (192.168.0.1). Все это находится в одном VLAN (VLAN 1).

 

Предполагаю, что под WWW вы имеете в виду внешнюю сеть (а именно веб-страницы, т.е. порты 80 для HTTP и 443 для HTTPS).

 

ПК отправляет пакет, на какой-то внешний IP-адрес (пусть будет 8.8.8.8 для примера) по HTTP/HTTPS. Маршрута конкретного до данного адреса у него нет, поэтому коммутатор отправляет пакет на маршрут по умолчанию.

 

Смотрим ваш access-list:

ip access-list extended Old_Net_Zero
  deny tcp any-source 10.1.100.0 0.0.0.255 syn
  permit tcp any-source 10.1.100.0 0.0.0.255
  deny tcp any-source any-destination d-port 22
  deny tcp any-source any-destination d-port 23
  permit icmp any-source any-destination 0
  deny icmp any-source 10.0.0.0 0.255.255.255
  permit icmp any-source any-destination
  permit tcp any-source any-destination d-port 53
  permit udp any-source any-destination d-port 53
  permit tcp any-source s-port 53 any-destination
  permit udp any-source s-port 53 any-destination
  permit tcp any-source any-destination d-port 80
  permit tcp any-source any-destination d-port 443
  deny ip any-source any-destination
  exit
vacl ip access-group Old_Net_Zero in vlan 1

"deny tcp any-source 10.1.100.0 0.0.0.255 syn" - под это правило не попадает наш внешний адрес

"permit tcp any-source 10.1.100.0 0.0.0.255" - под это правило тоже не попадает наш адрес

"deny tcp any-source any-destination d-port 22" - SSH нам тоже не подходит

"deny tcp any-source any-destination d-port 23" - как и telnet

"permit icmp any-source any-destination"

"deny icmp any-source 10.0.0.0 0.255.255.255"

"permit icmp any-source any-destination" - как и ICMP

"permit tcp any-source any-destination d-port 53"

"permit udp any-source any-destination d-port 53"

"permit tcp any-source s-port 53 any-destination"

"permit udp any-source s-port 53 any-destination" - DNS нам, условно, тоже не нужен

 

И вот мы добрались до следующих правил:

"permit tcp any-source any-destination d-port 80"

"permit tcp any-source any-destination d-port 443"

Пакет, предназначенный веб-серверу прилетел от клиента (с какого-то динамического порта, пусть будет, опять же для примера, 60080) на коммутатор S2995G и улетел во внешнюю сеть (на шлюз). Ведь согласно правилам мы его пропускаем, т.к. dst.port 80/443. Но когда пакет прилетает обратно, он должен быть направлен опять же на этот условный tcp порт 60080.

Поскольку VACL распространяется на все порты, куда выдан этот VLAN, и он у нас на IN, то как только пакет придет от шлюза на S2995G, он также будет подвергнут обработке и эти два правила он не пройдет, т.к. d-port у нас не 80/443 (ведь VLAN 1 у вас выдан везде).

Поэтому остается последнее правило в ACL: "deny ip any-source any-destination".

Соответственно пакет будет отброшен.

 

 

3.

Quote

при этом есть еще vlan 100 (10.1.100.0/24 через роутинг уходит в 192.168.0.1 и далее) и трафик из этой сети обрабатывается понятно. убираем

Здесь опять же наверняка не могу сказать, потому что не знаю точно, в каком VLAN у вас находится шлюз и вообще тополгию сети.

 

Может быть у вас происходит перекладка маршрутов из VLAN100 во VLAN1 и наоборот, а вы убираете единственное подходящее правило из ACL для VLAN100.

 

Попробуйте самостоятельно провести анализ, вы же знаете свою сеть, видите свои настройки оборудования. Возьмите абстрактный пакет с каким-то IP-адресом назначения и tcp портами, и сначала проанализируйте, как он будет обработан на IN при поступлении на S2995G от клиента и при поступлении от шлюза.

 

Если у вас возникают какие-то проблемы в работе оборудования, и считаете что оборудование работает некорректно, и при этом не получится разобраться самостоятельно - можете обратиться к нам на nag.support.

[batuy]

Цитата

Поскольку VACL распространяется на все порты

так, с этим стало понятнее поведение vacl.

но отсюда вопрос: если на свиче нет ни одного порта, например, в vlan 100, но при этом есть svi для этого влан. так понимаю если на vlan 100 навесить vacl трафик никак обрабатываться не будет?

[Vladimir Efimtsev]

Если VLAN никуда не выданы, соответствующий SVI интерфейс будет в DOWN.

[batuy]

Цитата

Если VLAN никуда не выданы, соответствующий SVI интерфейс будет в DOWN.

Interface Ethernet1/0/25
 switchport mode trunk

такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге.

 

и со всем вышесказанным, мне не понятно отличие in от out vacl. они будут идентично работать, от слова совсем.

[Vladimir Efimtsev]

Quote

такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге.

Нет, не считается. У вас же нет этого VLAN на коммутаторе.

"switchport mode trunk" на порту без указания каких-то разрешенных VLAN, разрешает вообще ВСЕ VLAN на порту, которые существуют на коммутаторе. Если их нет, то и на порту они разрешены не будут.

 

Quote

и со всем вышесказанным, мне не понятно отличие in от out vacl. они будут идентично работать, от слова совсем.

Почему идентично? VACL IN - оказывает влияние на трафик, поступающий на порты (где выдан VLAN), VACL OUT - оказывает влияние на трафик, который должен быть отправлен с порта.

 

Ознакомтесь, пожалуйста, с документацией, возможно найдете ответы на какие-то свои вопросы:

 

https://data.nag.wiki/SNR Switches/Configuration Guide/SNR-S2995G/10-Security Function Configuration.pdf

https://data.nag.wiki/SNR Switches/Command Guide/SNR-S2995G/10-Commands for Security Function.pdf

 

[batuy]

Цитата

Нет, не считается.

точно?

тогда как такое объяснить?

SNR-S2995-12FX#sh interface Vlan80
Vlan80 is up(0), line protocol is up, dev index is 11080
  Device flag 0x1003(UP BROADCAST MULTICAST)
  Time since last status change:0w-0d-4h-40m-58s  (16858 seconds)
  IPv4 address is:
    192.168.80.1     255.255.255.0     (Primary)
  VRF Bind: Not Bind
  Hardware is EtherSVI, address is f8-f0-82-d2-6a-a3
  MTU is 1500 bytes , BW is 0 Kbit
  Encapsulation ARPA, loopback not set
  5 minute input rate 3095 bits/sec, 3 packets/sec
  5 minute output rate 4123 bits/sec, 2 packets/sec
  The last 5 second input rate 1354 bits/sec, 1 packets/sec
  The last 5 second output rate 1469 bits/sec, 1 packets/sec
SNR-S2995-12FX#
SNR-S2995-12FX#sh vlan id 80
VLAN Name         Type       Media     Ports
---- ------------ ---------- --------- ----------------------------------------
80   Voip         Static     ENET      Ethernet1/0/2(T)    Ethernet1/0/5(T)

как можно заметить 1/0/2 и 1/0/5 транковые порты без указания каких-то разрешенных vlan

Interface Ethernet1/0/2
 switchport mode trunk
!
Interface Ethernet1/0/5
 description To SNR
 switchport mode trunk

 

 

[Vladimir Efimtsev]

Что нужно объяснить? Вы спрашивали:

Quote

"такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге."

Еще раз: "при отсутствии в конфиге".

 

Я понимаю эту фразу так, что VLAN вообще нет на коммутаторе (не создан глобально).

И я ответил на ваш вопрос:

Quote

"switchport mode trunk" на порту без указания каких-то разрешенных VLAN, разрешает вообще ВСЕ VLAN на порту, которые существуют на коммутаторе. Если их нет, то и на порту они разрешены не будут.

Если нет VLAN на коммутаторе (ВООБЩЕ), то и на порту их нет.

НО если они есть на коммутаторе, и если на порту только такая конфигурация: "switchport mode trunk" (без указания конкретных VLAN), в таком случае да, этот VLAN выдан на порту, и на него также может распространяться действие ACL (в зависимости от настройки).

Это стандартное поведение коммутатора.

 

В вашем примере да, эти VLAN есть на коммутаторе, есть настройка на порту: "switchport mode trunk" (без указания конкретных VLAN), тогда да, конечно трафик и ACL распросняются на эти VLAN на этих портах.

Формулируйте, пожалуйста, точнее вопросы, потому что без какой-то конкретики, сложно догадываться о чем вы пишите, можно не так понять вопрос, как в случае выше.

 

И как уже говорил, по объемным вопросам лучше писать на nag.support.

[batuy]

Цитата

Еще раз: "при отсутствии в конфиге".

ага, тогда все понятно. я же писал:

Цитата

такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге.

и на мой вопрос вы ответили: Нет, не считается.