Jump to content

Cisco ACL - не срабатывают

PleskovGrad
 Share

Recommended Posts

PleskovGrad

PleskovGrad

Posted
Posted

Имеется: Cisco 2811

C2800NM-IPVOICE_IVS-M), Version 12.4(20)T2, RELEASE SOFTWARE (fc4)

На ней несколько интерфейсов, и несколько ACL. Так вот, половина (ACL_WIFI_IN, ACL_LAN_IN) не срабатывают.

 

Сканирую железку на предмет доступности TCP 1720.

Данный порт доступен на интерфейсах 10.206.1.253, 10.206.64.1, но не 1.1.1.1 !!!

Если в ACL_WIFI_IN написать только правило deny ip any any - трафик через интерфейс продолжает ходить.

Совпадений в строчке "deny ip any host 10.206.64.1 log" нет

Если строчку "permit ip any any", исправить на " permit ip any any log" - в логах даже не отображаются попытки доступа к 10.206.64.1:1720

Пробовал ACL_WIFI_IN расписать аналогично ACL_ENF_IN - tcp, конкретный диапазон портов - все равно игнорируется.

Хотелось бы все свалить на port-channel, но ведь на инт 1.11 и ACL_ENF_IN все ОК!

Имеется еще одна железка с крайне похожей конфигурацией, там ситуация аналогична.

 

Прошу помочь разобраться и заставить работать ACL на всех инт.

 

interface Tunnel1000
ip address 172.17.50.2 255.255.255.252
ip access-group ACL_TUN1000_IN in
tunnel source 1.1.1.1
tunnel destination 2.2.2.2
!
interface Port-channel1
no ip address
!
interface Port-channel1.1
description == LAN ==
encapsulation dot1Q 1 native
ip address 10.206.1.253 255.255.192.0
ip access-group ACL_LAN_IN in
ip nat inside
ip virtual-reassembly
!
interface Port-channel1.2
description == Wifi Terminals ==
encapsulation dot1Q 2
ip address 10.206.64.1 255.255.254.0
ip access-group ACL_WIFI_IN in
ip nat inside
ip virtual-reassembly
!
interface Port-channel1.11
description == WAN ==
encapsulation dot1Q 11
ip address 1.1.1.1 255.255.255.252
ip access-group ACL_ENF_IN in
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/0
description == portchannel to core switch ==
no ip address
ip virtual-reassembly
duplex auto
speed auto
channel-group 1
!
interface FastEthernet0/1
description == portchannel to core switch ==
no ip address
ip virtual-reassembly
duplex auto
speed auto
channel-group 1
!
ip access-list extended ACL_ENF_IN
permit icmp any any
permit gre any any
permit tcp any host 1.1.1.1 eq telnet
deny   tcp any host 1.1.1.1 range 1700 1799 log
deny   udp any host 1.1.1.1 range 1700 1799 log
deny   tcp any host 1.1.1.1 range 5000 5099 log
deny   udp any host 1.1.1.1 range 5000 5099 log
permit ip any any
ip access-list extended ACL_LAN_IN
permit icmp any any
permit tcp any host 10.206.1.253 eq telnet
permit ip host 10.205.1.253 host 10.206.1.253
permit ip host 10.5.1.252 host 10.206.1.253
deny   ip any host 10.206.1.253 log
permit ip any any
ip access-list extended ACL_TUN1000_IN
permit icmp any any
permit tcp any host 172.17.50.2 eq telnet
deny   ip any host 172.17.50.2 log
permit ip any any
ip access-list extended ACL_WIFI_IN
permit icmp any any
permit tcp any host 10.206.64.1 eq telnet
deny   ip any host 10.206.64.1 log
permit ip any any

config

config

Posted
Posted

А почему именно 1720, ???. Возможно причина в том что запущен VoIP service. Что с остальными портами ? Тоже проходят ? Что с портом 5060 ? Show ver .

PleskovGrad

PleskovGrad

Posted
  • Author
Posted

5060 тоже открыт, т.к. воип запущен.

Нужно чтобы он был доступен только на одном интерфейсе для одного хоста. Ну, двух.

 

sh version

Cisco IOS Software, 2800 Software (C2800NM-IPVOICE_IVS-M), Version 12.4(20)T2, RELEASE SOFTWARE (fc4)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2009 by Cisco Systems, Inc.

Compiled Sat 31-Jan-09 13:46 by prod_rel_team

 

ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1)

 

RC_VNUKOVO uptime is 10 weeks, 14 hours, 29 minutes

System returned to ROM by Reload Command

System restarted at 21:19:22 MSK Thu Nov 1 2012

System image file is "flash:c2800nm-ipvoice_ivs-mz.124-20.T2.bin"

 

Cisco 2811 (revision 53.51) with 512000K/12288K bytes of memory.

Processor board ID FCZ141070NR

2 FastEthernet interfaces

31 Serial interfaces

1 Channelized/Clear E1/PRI port

DRAM configuration is 64 bits wide with parity enabled.

239K bytes of non-volatile configuration memory.

126000K bytes of ATA CompactFlash (Read/Write)

 

Configuration register is 0x2102

agr

agr

Posted
Posted

А вы с непосредственно подключенных сегментов то проверяете?

 

То есть 10.206.1.253 из vlan 1, а 10.206.64.1 из vlan2 ?

PleskovGrad

PleskovGrad

Posted
  • Author
Posted

А вы с непосредственно подключенных сегментов то проверяете?

 

То есть 10.206.1.253 из vlan 1, а 10.206.64.1 из vlan2 ?

Нет. Я проверяю вообще из другой сети. Проблема не в недоступности, а наоборот - излишней открытости устройства.

PleskovGrad

PleskovGrad

Posted
  • Author
Posted

Точно!

Изменил ACL, теперь все закрыто как нужно

 

ip access-list extended ACL_TUN1000_IN

permit icmp any any

remark == router via tunnel ==

permit tcp any host 172.17.50.2 eq telnet

deny ip any host 172.17.50.2 log

remark == router via lan ==

permit tcp any host 10.206.1.253 eq telnet

permit ip host 10.205.1.253 host 10.206.1.253

permit ip host 10.5.1.252 host 10.206.1.253

deny ip any host 10.206.1.253 log

remark == router via wifi ==

permit tcp any host 10.206.64.1 eq telnet

deny ip any host 10.206.64.1 log

remark == other ==

permit ip any any

!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.