Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.
access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)
Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?
Cisco ACL vesein
-
- Besserwisser
- Póstar: 3079
- Skráði sig: Fös 14. Jan 2005 15:46
- Reputation: 46
- Staðsetning: Við hliðina á nýju tölvunni minni
- Hafðu samband:
- Staða: Ótengdur
Re: Cisco ACL vesein
Ég held að listinn fari í röð niður þannig að þú mátt ekki setja deny any any fyrst heldur síðast, annars byrjar hann bara á að blokka allt og er svo alveg sama um það sem er fyrir neðan, ef að þú myndir hafa þetta:
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
access-list 101 deny ip any any
Þá myndi hann fyrst lesa listann og ákveða að hleypa tcp www og svo að hleypa tcp remote desktop í gegn og svo bannar allt nema línurnar fyrir ofan sig
Hins vegar ef að ef að listinn er:
access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
Þá byrjar routerinn að lesa listann og byrjar á því að banna allt og þá skiptir ekki máli hvað stendur fyrir neðan.
Ég vil enda á að segja að þetta er ágiskun hjá mér sem að ég er ekki 100% viss um en það sakar ekki fyrir þig að prófa ef að enginn fróðari Cisco gæi er hérna til að koma með lausn á þessu hjá þér
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
access-list 101 deny ip any any
Þá myndi hann fyrst lesa listann og ákveða að hleypa tcp www og svo að hleypa tcp remote desktop í gegn og svo bannar allt nema línurnar fyrir ofan sig
Hins vegar ef að ef að listinn er:
access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
Þá byrjar routerinn að lesa listann og byrjar á því að banna allt og þá skiptir ekki máli hvað stendur fyrir neðan.
Ég vil enda á að segja að þetta er ágiskun hjá mér sem að ég er ekki 100% viss um en það sakar ekki fyrir þig að prófa ef að enginn fróðari Cisco gæi er hérna til að koma með lausn á þessu hjá þér
Menn rugla saman tveimur orðum, víst og fyrst. Hið fyrrnefnda er komið af orðinu vissa en hitt er úr talmáli og haft í merkingunni: úr því að, þar sem (um orsök). Dæmi: Fyrst að ég get þetta þá getur þú þetta, þ.e.a.s: Þar eð ég get þetta þá getur þú þetta. En víst er notað um vissu: Það er nokkuð víst að ég geti gert þetta.
-
- Vélbúnaðarníðingur
- Póstar: 346
- Skráði sig: Þri 26. Okt 2010 15:01
- Reputation: 41
- Staða: Ótengdur
Re: Cisco ACL vesein
Rétt hjá Beatmaster varðandi acl'inn.
CBAC fídusinn tekur toll af cpu og því eðlilegt að routing hraði minnki eitthvað.
Það er reyndar langt síðan ég hef notast við þetta, en mér sýnist eitthvað búið að tjúna þetta til í nýrri útgáfum - getur kíkt á þennan link: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configuration/15-2mt/sec-cbac-fw-perf.html
Kv, Einar.
CBAC fídusinn tekur toll af cpu og því eðlilegt að routing hraði minnki eitthvað.
Það er reyndar langt síðan ég hef notast við þetta, en mér sýnist eitthvað búið að tjúna þetta til í nýrri útgáfum - getur kíkt á þennan link: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configuration/15-2mt/sec-cbac-fw-perf.html
Kv, Einar.
-
- has spoken...
- Póstar: 171
- Skráði sig: Lau 24. Jún 2006 10:19
- Reputation: 2
- Staðsetning: Reykjavík
- Hafðu samband:
- Staða: Ótengdur
Re: Cisco ACL vesein
Pandemic skrifaði:Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.
access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)
Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?
Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established
Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.
-
- Tölvutryllir
- Póstar: 663
- Skráði sig: Fös 10. Jan 2003 09:59
- Reputation: 61
- Staðsetning: 107
- Hafðu samband:
- Staða: Ótengdur
Re: Cisco ACL vesein
dorg skrifaði:Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established
Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.
Ef að hann er að inspecta DNS + tcp, þá þarf hann hvoruga línuna sem þú leggur til.
Þú þarft þetta bara ef þú ætlar að sleppa inspectinu.
Mkay.
-
Höfundur - Stjórnandi
- Póstar: 3760
- Skráði sig: Fim 31. Júl 2003 15:25
- Reputation: 123
- Staðsetning: Reykjavík
- Staða: Ótengdur
Re: Cisco ACL vesein
Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).
-
- Kerfisstjóri
- Póstar: 1270
- Skráði sig: Þri 07. Sep 2004 18:18
- Reputation: 13
- Staðsetning: Router(config)#
- Staða: Ótengdur
Re: Cisco ACL vesein
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).
Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.
Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.
Specs: Tölva, skjár, lyklaborð, mús og internet.
Re: Cisco ACL vesein
ponzer skrifaði:Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).
Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.
Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.
Er það nú ekki full metnaðarfullt fyrir heimatæki
-
- Kerfisstjóri
- Póstar: 1270
- Skráði sig: Þri 07. Sep 2004 18:18
- Reputation: 13
- Staðsetning: Router(config)#
- Staða: Ótengdur
Re: Cisco ACL vesein
toybonzi skrifaði:ponzer skrifaði:Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).
Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.
Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.
Er það nú ekki full metnaðarfullt fyrir heimatæki
Ertu að meina ASA boxið ? Nei alls ekki - færð fullt af fídusum útúr honum og þetta er ekki svo dýrt hliðiná þessum consumer routerum sem kosta líka sitt.. Getur fengið notuð svona box fyrir 150$+ úti.
Specs: Tölva, skjár, lyklaborð, mús og internet.
-
Höfundur - Stjórnandi
- Póstar: 3760
- Skráði sig: Fim 31. Júl 2003 15:25
- Reputation: 123
- Staðsetning: Reykjavík
- Staða: Ótengdur
Re: Cisco ACL vesein
Veit af ASA boxunum, ástæðan fyrir því að ég var að reyna þetta með router er bara að ég á hann og hérna til. Annars fer ég líklega í pfSense uppá framtíðina að gera.
Svo eru þessi leyfi á boxinn rándýr, það er bara hálfur sigur unninn að vera með hardwareið
Svo eru þessi leyfi á boxinn rándýr, það er bara hálfur sigur unninn að vera með hardwareið