Сообщения без ответов | Активные темы Текущее время: 13 дек 2019, 06:48



Ответить на тему  [ Сообщений: 11 ] 
PAT + ACL на CISCO 2921 
Автор Сообщение

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
Всем привет! Нужна ваша помощь, коллеги:
На маршрутизаторе настроен НАТ оверлоад и проброс порта в локалку
Код:
ip nat inside source list nat-out interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.1.99 10799 "мой внешний белый IP" 599 extendable

на внешнем интерфейсе ACL:
Код:
ip access-list extended SPOOFING
 deny   ip 192.168.0.0 0.0.255.255 any
 deny   ip 192.0.2.0 0.0.0.255 any
 deny   ip 0.0.0.0 0.255.255.255 any
 deny   ip host 255.255.255.255 any
 deny   ip 127.0.0.0 0.255.255.255 any
 deny   ip 224.0.0.0 15.255.255.255 any
 deny   ip 240.0.0.0 7.255.255.255 any
 deny   ip 10.0.0.0 0.255.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 169.254.0.0 0.0.255.255 any
 permit ip any any

задача и вопрос: нужно разрешить подключение по порту 599 только с одного конкретного внешнего адреса, как правильно это сделать?
И вопрос - загадка: почему-то не работает проброс портов выше 1023, т.е.
ip nat inside source static tcp 192.168.1.99 10799 "мой внешний белый IP" 1024 extendable - работать не будет и любой порт выше.
Код:
System image file is "flash0:c2900-universalk9-mz.SPA.151-4.M4.bin"


03 дек 2019, 10:45
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
mihalich писал(а):
на внешнем интерфейсе ACL:
...
permit ip any any

А нафига такой экстрим?
Firewall вас заломало включить или религия не позволяет?

_________________
Knowledge is Power


03 дек 2019, 13:28
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
Silent_D писал(а):
А нафига такой экстрим?
Firewall вас заломало включить или религия не позволяет?

Это всё эксперименты. И, конечно, это не единственный ACL на роутере, + NAT.
Имеете ввиду ip inspect? После включения возрастёт нагрузка, а циска и так с трудом 300 Мбит вытягивате да и опыта у меня, честно говоря, мало, но попробовать можно.
Этого будет достаточно:
Код:
ip inspect name FIREWALL_OUT tcp
ip inspect name FIREWALL_OUT udp
ip inspect name FIREWALL_OUT icmp


Подскажите с ACL на внешнем интерфейсе, я правильно понимаю, что здесь в permit добаваляю порты из ip nat inside source static, предположим к вэб-серверу и разрешу пинговать роутер?
Код:
 ip access-list extended FIREWALL_ACL
 permit tcp any any eq www
 permit icmp any any
 deny   ip any any

Код:
 interface GigabitEthernet0/0
 description "Internet"
 ip access-group FIREWALL_ACL in
 ip inspect FIREWALL_OUT out


03 дек 2019, 16:25
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
В общем, помоги себе сам называется.
Сделал пока так, если у кого-нибудь есть полезные замечания - буду благодарен:
Код:
ip inspect max-incomplete high 4000
ip inspect max-incomplete low 3500
ip inspect one-minute high 8000
ip inspect one-minute low 7000
ip inspect hashtable-size 2048
ip inspect tcp finwait-time 10
ip inspect tcp max-incomplete host 200 block-time 0
ip inspect tcp reassembly queue length 176
ip inspect tcp reassembly timeout 10
ip inspect name FIREWALL_OUT tcp
ip inspect name FIREWALL_OUT udp
ip inspect name FIREWALL_OUT icmp
ip inspect name FIREWALL_OUT router
ip inspect name FIREWALL_OUT http
ip inspect name FIREWALL_OUT https
ip inspect name FIREWALL_OUT ftp
ip inspect name FIREWALL_OUT ntp
ip inspect name FIREWALL_OUT dns
ip inspect name FIREWALL_OUT bittorrent

Код:
interface GigabitEthernet0/1
 description Internet
 ip address "мой внешний белый IP"
 ip access-group FIREWALL_ACL in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim dense-mode
 ip nat outside
 ip inspect FIREWALL_OUT out
 ip virtual-reassembly in drop-fragments max-reassemblies 128

Код:
ip access-list extended FIREWALL_ACL
 permit tcp any host "мой внешний белый IP" eq www
 permit tcp host "Дом" host "мой внешний белый IP" eq 55 55555
 permit tcp any host "мой внешний белый IP" eq 777 log
 permit udp any eq domain any
 permit udp any eq ntp any
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any fragments
 permit icmp any any administratively-prohibited
 permit icmp any any unreachable
 permit icmp any any packet-too-big
 permit icmp any any traceroute
 permit icmp any any time-exceeded
 permit icmp any any timestamp-reply
 permit icmp any any host-unknown
 permit icmp any any host-unreachable
 deny   icmp any any
 deny   ip any any


05 дек 2019, 12:09
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
mihalich писал(а):
Сделал пока так, если у кого-нибудь есть полезные замечания - буду благодарен

1. Содержимое ip access-list extended SPOOFING я бы в начало добавил. Зачем вы его убрали?
2. icmp входит в ip, так что отдельный deny icmp any any не нужен.
3. Почты (SMTP) у вас в сети нет?

_________________
Knowledge is Power


05 дек 2019, 13:05
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
1. Добавил. Подумал, что эти адреса и так будут заблокированы, вить в конце списка deny ip any any.
2. Убрал. Нашёл на просторах необъятной, что для icmp нужен отдельный deny.
3. Добавил. Внутри сети своего сервера нет, после включения фаервола проверял, почтовые клиенты письма получают и отправляют


05 дек 2019, 14:09
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
Остался один вопрос: не пробрасываются порты выше 1023. Предполагаю, что это или провайдер режет (хотя уверяли, что не они), или IOS пора обновлять.
И не много напрягает быстро растущий счётцик deny ip any any (10744 matches) - это за пять минут набежало на входящий порт. Или это можно считать нормой?


06 дек 2019, 15:41
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
mihalich писал(а):
Остался один вопрос: не пробрасываются порты выше 1023.
Предполагаю, что это или провайдер режет (хотя уверяли, что не они), или IOS пора обновлять.

Ну это не роутер точно. Что, впрочем, не мешает IOS обновить.

_________________
Knowledge is Power


06 дек 2019, 21:10
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
mihalich писал(а):
И немного напрягает быстро растущий счётчик deny ip any any (10744 matches) - это за пять минут набежало на входящий порт.
Или это можно считать нормой?

Ну добавьте log в конце, посмотрите, кто там такой настойчивый.
Может это злые китайские хакеры, а может это просто у провайдера мультикаст гуляет.
Только не оставляйте насовсем, log в ACL сильно напрягает рутер.

_________________
Knowledge is Power


07 дек 2019, 01:20
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 9
Silent_D писал(а):
Ну добавьте log в конце, посмотрите, кто там такой настойчивый.
Может это злые китайские хакеры, а может это просто у провайдера мультикаст гуляет.
Только не оставляйте насовсем, log в ACL сильно напрягает рутер.

Включил на пару секунд лог, айпишники всякие разные и наши, и иностранные (яндекс, амазон, микрософт, гугл и т.д.)
Код:
002621: Dec 10 14:12:43: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.185.138(443) -> "мой внешний белый IP"(49440), 1 packet
002622: Dec 10 14:12:44: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.129(443) -> "мой внешний белый IP"(12584), 1 packet
002623: Dec 10 14:12:45: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.112.35(443) -> "мой внешний белый IP"(42947), 1 packet
002624: Dec 10 14:12:46: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 31.13.92.52(443) -> "мой внешний белый IP"(56360), 1 packet
002625: Dec 10 14:12:47: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 178.176.158.73(443) -> "мой внешний белый IP"(49538), 1 packet
002626: Dec 10 14:12:48: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002627: Dec 10 14:12:49: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002628: Dec 10 14:12:50: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002629: Dec 10 14:12:51: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002630: Dec 10 14:12:52: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002631: Dec 10 14:12:53: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002632: Dec 10 14:12:54: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002633: Dec 10 14:12:55: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.112.36(443) -> "мой внешний белый IP"(54596), 1 packet
002634: Dec 10 14:12:56: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.129(443) -> "мой внешний белый IP"(49217), 1 packet
002635: Dec 10 14:12:57: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 77.88.21.119(443) -> "мой внешний белый IP"(51963), 1 packet
002636: Dec 10 14:12:58: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 185.62.200.245(80) -> "мой внешний белый IP"(42112), 1 packet
002637: Dec 10 14:12:59: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 52.114.158.50(443) -> "мой внешний белый IP"(27555), 1 packet
002638: Dec 10 14:13:00: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.188(443) -> "мой внешний белый IP"(12645), 1 packet
002639: Dec 10 14:13:01: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 64.233.162.94(443) -> "мой внешний белый IP"(51021), 1 packet
002640: Dec 10 14:13:02: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 194.226.180.57(443) -> "мой внешний белый IP"(63656), 1 packet
002641: Dec 10 14:13:03: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 77.88.55.88(443) -> "мой внешний белый IP"(27598), 1 packet
002642: Dec 10 14:13:04: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 173.194.222.95(443) -> "мой внешний белый IP"(1667), 1 packet
002643: Dec 10 14:13:05: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 209.85.233.95(443) -> "мой внешний белый IP"(58946), 1 packet
002644: Dec 10 14:13:06: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.250.210(443) -> "мой внешний белый IP"(50106), 1 packet
002645: Dec 10 14:13:07: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 173.194.222.113(443) -> "мой внешний белый IP"(51815), 1 packet
002646: Dec 10 14:13:08: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.186(443) -> "мой внешний белый IP"(51774), 1 packet
002647: Dec 10 14:13:09: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 13.33.245.115(443) -> "мой внешний белый IP"(51005), 1 packet
002648: Dec 10 14:13:11: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 92.242.35.41(443) -> "мой внешний белый IP"(49296), 1 packet
002649: Dec 10 14:13:12: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.92.15(443) -> "мой внешний белый IP"(35106), 1 packet
002650: Dec 10 14:13:13: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 64.233.165.128(80) -> "мой внешний белый IP"(56942), 1 packet

Почему-то нету статистики по HTTPS, хоть и прописано в конфиге ip inspect name FIREWALL_OUT https и порт на source ip как раз 443
Код:
sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
  tcp packets: [338257:267831061]
  udp packets: [1579938:60184130]
  icmp packets: [8743:102198]
  smtp packets: [0:21169]
  http packets: [82053:51617527]
  ftp packets: [9215:0]
  sip packets: [9519:0]
  imap packets: [1435:0]
  pop3 packets: [0:1636]

П.С. Попутно вычислил несколько неправильно настроенных почтовых клиентов.


10 дек 2019, 14:32
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 351
Откуда: Moscow
mihalich писал(а):
Почему-то нету статистики по HTTPS, хоть и прописано в конфиге ip inspect name FIREWALL_OUT https
и порт на source ip как раз 443

Судя по логу, у вас дропается обычный https трафик, и даже http там мелькает.
Или у вас ip inspect как-то криво настроен, или IOS глючит.
Попробуйте для начала обновить IOS.

_________________
Knowledge is Power


10 дек 2019, 15:56
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Adsense [Bot] и гости: 22


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB