Cisco ACL vesein

Skjámynd

Höfundur
Pandemic
Stjórnandi
Póstar: 3760
Skráði sig: Fim 31. Júl 2003 15:25
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Cisco ACL vesein

Pósturaf Pandemic » Þri 28. Maí 2013 00:09

Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389

Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)

Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?



Skjámynd

beatmaster
Besserwisser
Póstar: 3079
Skráði sig: Fös 14. Jan 2005 15:46
Reputation: 46
Staðsetning: Við hliðina á nýju tölvunni minni
Hafðu samband:
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf beatmaster » Þri 28. Maí 2013 00:26

Ég held að listinn fari í röð niður þannig að þú mátt ekki setja deny any any fyrst heldur síðast, annars byrjar hann bara á að blokka allt og er svo alveg sama um það sem er fyrir neðan, ef að þú myndir hafa þetta:

access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
access-list 101 deny ip any any

Þá myndi hann fyrst lesa listann og ákveða að hleypa tcp www og svo að hleypa tcp remote desktop í gegn og svo bannar allt nema línurnar fyrir ofan sig

Hins vegar ef að ef að listinn er:

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389


Þá byrjar routerinn að lesa listann og byrjar á því að banna allt og þá skiptir ekki máli hvað stendur fyrir neðan.

Ég vil enda á að segja að þetta er ágiskun hjá mér sem að ég er ekki 100% viss um en það sakar ekki fyrir þig að prófa ef að enginn fróðari Cisco gæi er hérna til að koma með lausn á þessu hjá þér


Menn rugla saman tveimur orðum, víst og fyrst. Hið fyrrnefnda er komið af orðinu vissa en hitt er úr talmáli og haft í merkingunni: úr því að, þar sem (um orsök). Dæmi: Fyrst að ég get þetta þá getur þú þetta, þ.e.a.s: Þar eð ég get þetta þá getur þú þetta. En víst er notað um vissu: Það er nokkuð víst að ég geti gert þetta.

Skjámynd

Höfundur
Pandemic
Stjórnandi
Póstar: 3760
Skráði sig: Fim 31. Júl 2003 15:25
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf Pandemic » Þri 28. Maí 2013 00:29

Gæti verið málið, ég ruglast alltaf á þessu í hvora áttina þetta fer :)




einarth
Vélbúnaðarníðingur
Póstar: 346
Skráði sig: Þri 26. Okt 2010 15:01
Reputation: 41
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf einarth » Þri 28. Maí 2013 09:00

Rétt hjá Beatmaster varðandi acl'inn.

CBAC fídusinn tekur toll af cpu og því eðlilegt að routing hraði minnki eitthvað.

Það er reyndar langt síðan ég hef notast við þetta, en mér sýnist eitthvað búið að tjúna þetta til í nýrri útgáfum - getur kíkt á þennan link: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configuration/15-2mt/sec-cbac-fw-perf.html

Kv, Einar.




dorg
has spoken...
Póstar: 171
Skráði sig: Lau 24. Jún 2006 10:19
Reputation: 2
Staðsetning: Reykjavík
Hafðu samband:
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf dorg » Sun 02. Jún 2013 23:24

Pandemic skrifaði:Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389

Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)

Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?


Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established

Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.



Skjámynd

natti
Tölvutryllir
Póstar: 663
Skráði sig: Fös 10. Jan 2003 09:59
Reputation: 61
Staðsetning: 107
Hafðu samband:
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf natti » Mið 05. Jún 2013 14:58

dorg skrifaði:Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established


Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.


Ef að hann er að inspecta DNS + tcp, þá þarf hann hvoruga línuna sem þú leggur til.
Þú þarft þetta bara ef þú ætlar að sleppa inspectinu.


Mkay.

Skjámynd

Höfundur
Pandemic
Stjórnandi
Póstar: 3760
Skráði sig: Fim 31. Júl 2003 15:25
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf Pandemic » Mið 05. Jún 2013 19:55

Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).



Skjámynd

ponzer
Kerfisstjóri
Póstar: 1270
Skráði sig: Þri 07. Sep 2004 18:18
Reputation: 13
Staðsetning: Router(config)#
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf ponzer » Mið 05. Jún 2013 20:56

Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.


Specs: Tölva, skjár, lyklaborð, mús og internet.


toybonzi
Ofur-Nörd
Póstar: 237
Skráði sig: Fim 17. Feb 2011 13:50
Reputation: 4
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf toybonzi » Mið 05. Jún 2013 23:33

ponzer skrifaði:
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.



Er það nú ekki full metnaðarfullt fyrir heimatæki :)



Skjámynd

ponzer
Kerfisstjóri
Póstar: 1270
Skráði sig: Þri 07. Sep 2004 18:18
Reputation: 13
Staðsetning: Router(config)#
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf ponzer » Fim 06. Jún 2013 10:31

toybonzi skrifaði:
ponzer skrifaði:
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.



Er það nú ekki full metnaðarfullt fyrir heimatæki :)



Ertu að meina ASA boxið ? Nei alls ekki - færð fullt af fídusum útúr honum og þetta er ekki svo dýrt hliðiná þessum consumer routerum sem kosta líka sitt.. Getur fengið notuð svona box fyrir 150$+ úti.


Specs: Tölva, skjár, lyklaborð, mús og internet.

Skjámynd

Höfundur
Pandemic
Stjórnandi
Póstar: 3760
Skráði sig: Fim 31. Júl 2003 15:25
Reputation: 123
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Cisco ACL vesein

Pósturaf Pandemic » Fim 06. Jún 2013 13:35

Veit af ASA boxunum, ástæðan fyrir því að ég var að reyna þetta með router er bara að ég á hann og hérna til. Annars fer ég líklega í pfSense uppá framtíðina að gera.
Svo eru þessi leyfi á boxinn rándýr, það er bara hálfur sigur unninn að vera með hardwareið