Автор |
Сообщение |
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Есть ядро на 3750x, нужно сделать акл, чтоб на один хост в влан20 был доступ из влан 10 для двух хостов по https и из влан 100 по ssh для одного хоста. Я понимаю что там не полноценный фаерволл, а больше как фильтр. ПРОбую так Extended IP access list forvlan20 20 permit tcp host 172.10.100.133 host 172.10.20.20 eq 22 established
Вешаю его на вход влан 20 - не работает добавляю обратное правил 30 permit tcp host 172.10.20.20 host 172.10.100.133 работает все протоколы Как правильно настроить?
|
01 ноя 2018, 18:58 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Ограничить по доступу целиком по ip проблем нет, а вот оставить только определенные порты не получается. лицензия ipserv. PS в правиле выше тренируюсь пока только на ssh
|
01 ноя 2018, 23:01 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
акл должен выглядеть вот так и висеть на vlan20 на вход Код: ip access-list extended forvlan20 permit tcp host 172.10.20.20 eq 22 host 172.10.100.133 ну и далее по аналогии
|
02 ноя 2018, 09:09 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Ага спасибо. И как теперь разрешить хосту в это 20м вилане 172.10.20.20 выходить во все остальные влан? Или для этого надо делать доп акл на vlan20 аут?
|
02 ноя 2018, 10:07 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
ПРобую по аналогии добавить в этот акл правило permit tcp any host 172.10.20.20 Не работает. Сейчас хост 172.10.20.20 никуда выйти из своего влан не может. Что-то я не понимаю логику работы акл на свитчах(
|
02 ноя 2018, 11:59 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
как сейчас выглядит vlan и acl?
|
02 ноя 2018, 12:05 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Я сейчас тренируюсь на тестовом влан, поэтому новые номера влан interface Vlan96 description TEST ip address 172.31.96.11 255.255.255.0 ip access-group test-vlan in vrrp 96 ip 172.31.96.12 vrrp 96 priority 90
ip access-list extended test-vlan permit tcp host 172.31.96.20 eq 22 host 172.31.10.20 permit tcp any host 172.31.96.20 Сейчас с 10.20 ssh на 96.20 работает с 96.20 никуда не выходит а мне как раз надо, чтоб 96.20 ходил в инет и другие влан. Если снять этот акл то все работает.
|
02 ноя 2018, 12:34 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
У Вас в ACL адрес 172.31.96.20 то в виде source, то в виде destination.
|
03 ноя 2018, 00:31 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Demm писал(а): permit tcp host 172.31.96.20 eq 22 host 172.31.10.20 permit tcp any host 172.31.96.20
не понятно почему у вас два правила в одном листе, но совсем противоположные.
|
03 ноя 2018, 19:40 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Может быть, он его и на вход, и на выход вешает одновременно?
|
05 ноя 2018, 00:07 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
может, тогда где второе правило, которое разрешает хосту все что хочет автор?
|
06 ноя 2018, 10:05 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
В общем финальное правило, которае работает в проде вышло такое permit tcp host 172.31.96.20 eq 22 host 172.31.10.20 - разрешение доступа по ssh c 10.20 на 96.20 permit ip host 172.31.96.20 host 10.100.0.22 - разрешение всего с 96.20 на 0.22 акл висит на ИН влан 96
|
06 ноя 2018, 13:15 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Подниму старую тему Есть такая задача, vlan 46 может ходить на два dc, не должен ходить в остальные влан и остальные сервера, но может ходить в инет Пишу такой acl object-group network DC host 192.168.0.88 host 192.168.0.89
ip access-list extended TEST46 permit udp 172.31.46.0 0.0.0.255 object-group DC permit tcp 172.31.46.0 0.0.0.255 object-group DC deny ip 172.31.46.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 172.31.46.0 0.0.0.255 172.16.0.0 0.15.255.255 deny ip 172.31.46.0 0.0.0.255 192.168.0.0 0.0.255.255 permit ip any any Вешаю на ин interface Vlan46 ip address 172.31.46.12 255.255.255.0 ip access-group TEST46 in и 46 влан может ходить куда угодно(
|
10 сен 2019, 12:48 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
Demm писал(а): и 46 влан может ходить куда угодно( но видимо никто из указанных в deny сетей туда попасть не может?
|
10 сен 2019, 14:10 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Да нет, может. по админской шаре захожу с 172,31,15 или же надо навешивать два акл на ин и на аут?
|
10 сен 2019, 14:21 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
Что я не так делаю?
|
11 сен 2019, 11:15 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Тут можно только гадать. Возможно, что трафик идёт каким-то другим путём (покажите, например, трейс). Либо АКЛ не срабатывает по какой-то причине, например, адрес отправителя не из этой сети, поэтому обрабатывается по последнему правилу. Замените его на permit ip 172.31.46.0 0.0.0.255 any.
|
12 сен 2019, 19:05 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
переделал permit udp 172.31.46.0 0.0.0.255 object-group DC permit tcp 172.31.46.0 0.0.0.255 object-group DC в permit tcp 172.31.46.0 0.0.0.255 host 192.168.0.88 log-input permit udp 172.31.46.0 0.0.0.255 host 192.168.0.88 log-input permit tcp 172.31.46.0 0.0.0.255 host 192.168.0.89 log-input permit udp 172.31.46.0 0.0.0.255 host 192.168.0.89 log-input
и заработало как надо. Правила с object-group DC пускали куда угодно. Не могу понять почему object-group не правильно работает
|
13 сен 2019, 11:34 |
|
|