Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:02



Ответить на тему  [ Сообщений: 7 ] 
Список доступа для Expressway - E c включенным MRA 
Автор Сообщение

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Есть кластер из 2х ExpressWay-E с включенным MRA и (JABBER + WebRTC) на OUTSIDE IN ASA есть список доступа

Код:
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 8443
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 5222
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 5061
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE gt 3477
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE lt 3484
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE gt 23999
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE lt 30000
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE gt 3601
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE lt 60000


Вопрос вот в чем. Почему при таком списке доступен пот 445. По идее же не должен? Где я ошибся?


23 апр 2020, 17:30
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Если верить приведенному ACL во всем что касается
gt Port greater than operator
lt Port less than operator

Вы же знаете для чего это используется?


23 апр 2020, 17:45
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Чертовски извеняюсь, бес попутал )))

Должно быть так

Код:
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 8443
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 5222
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE gt 3477
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE lt 3484
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE gt 23999
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE lt 30000
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE gt 3601
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE lt 60000
access-list OUTSIDE  extended permit udp any4 object-group ExpwayE eq 5061
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq 5061
access-list OUTSIDE  extended permit tcp any4 object-group ExpwayE eq https


Сам виноват!


23 апр 2020, 18:16
Профиль

Зарегистрирован: 23 июн 2009, 10:26
Сообщения: 216
Я не знаю про беса, но эти правила некорректны (хотя конечно к порту 445 не имеют отношения)
access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3477
access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 3484
access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 23999
access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 30000
access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3601
access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 60000

Вы пытались сделать доступ от порта до порта? Для этого используется range
А то что вы сделали открывает доступ
access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3477 - все что выше порта 3477 (не включая этот порт) - открыть (доступ с порта 3478 до 65535
access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 3484 - все что ниже порта 3484 (не включая этот порт) - открыть (доступ с порта 0 до 3483)
Ну и следующие за этим доступы аналогично.


23 апр 2020, 18:20
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Согласен, выглядит странно и для меня не понятно, но это их примера настройки от производителя ) Ну без учета CMS

https://www.cisco.com/c/en/us/support/d ... html#anc14


23 апр 2020, 18:31
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
Никого я не путал, это все поклеп и провокация.
А скажите в чем идея что-то фильтровать до Exp-E


23 апр 2020, 22:20
Профиль

Зарегистрирован: 29 янв 2017, 00:39
Сообщения: 431
Ну как минимум закрыть доступ у админке експрессвея


24 апр 2020, 08:28
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 52


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB