Síða 1 af 1

Cisco ACL vesein

Sent: Þri 28. Maí 2013 00:09
af Pandemic
Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389

Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)

Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?

Re: Cisco ACL vesein

Sent: Þri 28. Maí 2013 00:26
af beatmaster
Ég held að listinn fari í röð niður þannig að þú mátt ekki setja deny any any fyrst heldur síðast, annars byrjar hann bara á að blokka allt og er svo alveg sama um það sem er fyrir neðan, ef að þú myndir hafa þetta:

access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389
access-list 101 deny ip any any

Þá myndi hann fyrst lesa listann og ákveða að hleypa tcp www og svo að hleypa tcp remote desktop í gegn og svo bannar allt nema línurnar fyrir ofan sig

Hins vegar ef að ef að listinn er:

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389


Þá byrjar routerinn að lesa listann og byrjar á því að banna allt og þá skiptir ekki máli hvað stendur fyrir neðan.

Ég vil enda á að segja að þetta er ágiskun hjá mér sem að ég er ekki 100% viss um en það sakar ekki fyrir þig að prófa ef að enginn fróðari Cisco gæi er hérna til að koma með lausn á þessu hjá þér

Re: Cisco ACL vesein

Sent: Þri 28. Maí 2013 00:29
af Pandemic
Gæti verið málið, ég ruglast alltaf á þessu í hvora áttina þetta fer :)

Re: Cisco ACL vesein

Sent: Þri 28. Maí 2013 09:00
af einarth
Rétt hjá Beatmaster varðandi acl'inn.

CBAC fídusinn tekur toll af cpu og því eðlilegt að routing hraði minnki eitthvað.

Það er reyndar langt síðan ég hef notast við þetta, en mér sýnist eitthvað búið að tjúna þetta til í nýrri útgáfum - getur kíkt á þennan link: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_cbac_fw/configuration/15-2mt/sec-cbac-fw-perf.html

Kv, Einar.

Re: Cisco ACL vesein

Sent: Sun 02. Jún 2013 23:24
af dorg
Pandemic skrifaði:Ég er orðinn smá ryðgaður í Cisco því ég greinilega næ ekki að henda upp einföldum ACL.
Ég er s.s með router sem er tengdur WAN í gegnum FE0/0 og svo er ég með innranetið á FE0/1
Svo hengi ég þennan lista á WAN interfaceið sem inbound. En hún blokkar allar fyrirspurnir.
Ég kemst á netið og allt svoleiðis er með inspect reglu á outbound á FE0/0 fyrir TCP og UDP.

access-list 101 deny ip any any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 3389

Gæti verið að ég þurfi að gera outbound reglur líka?(Verð að prófa það á morgun þar sem ég er ekki nálægt routernum eins og er)

Smá hliðarspurning - Þegar ég setti inspect á þá droppaði hraðinn á netinu umtalsvert. Er inspect svona CPU heavy?


Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established

Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.

Re: Cisco ACL vesein

Sent: Mið 05. Jún 2013 14:58
af natti
dorg skrifaði:Já inspect drepur hraða.
Eins og bent hefur verið á þá er röðin röng og svo vantar að setja
permit udp any any eq 53
permit tcp any any established


Svona alveg minimalt.
Annars þarftu ekki deny ip any any það er sjálfkrafa deny neðst í lista.


Ef að hann er að inspecta DNS + tcp, þá þarf hann hvoruga línuna sem þú leggur til.
Þú þarft þetta bara ef þú ætlar að sleppa inspectinu.

Re: Cisco ACL vesein

Sent: Mið 05. Jún 2013 19:55
af Pandemic
Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).

Re: Cisco ACL vesein

Sent: Mið 05. Jún 2013 20:56
af ponzer
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.

Re: Cisco ACL vesein

Sent: Mið 05. Jún 2013 23:33
af toybonzi
ponzer skrifaði:
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.



Er það nú ekki full metnaðarfullt fyrir heimatæki :)

Re: Cisco ACL vesein

Sent: Fim 06. Jún 2013 10:31
af ponzer
toybonzi skrifaði:
ponzer skrifaði:
Pandemic skrifaði:Ég er að pæla, hverju mynduð þið mæla með sem stillingum fyrir cicso 1841 ef ég vill hafa þetta sem venjulegan heimilis router. Þá er ég að meina ég hvernig ACL/inspect reglur þarf ég til að vera með venjulegt heimilisnet og t.d hleypa inn á porti 80 tcp á einn server sem ég er með?
1841 fer úr 100Mbit í 50Mbit á hraðatesti með inspect reglurnar, sem mér finnst frekar grimmt(kannski ekkert óeðlilegt þar sem hann er að fara mjög hátt í layerum).


Það er svosem hægt að setja upp einn acl fyrir allt sem að fara út á netið eins og port 53,80,443 o.s.frv en það eru mörg tól/forrit sem eru auðvita að nota önnur port og það fylgir því handavinna að græja alltaf opnun fyrir þær.
Fyrir þetta port 80 sem þú vilt opna inn þarftu að græja nat auðvita svo geturðu sett inn acl fyrir það líka til þess að stjórna traffík inn á hann.

Ég mæli hinsvegar með ASA eldvegg ef þú ert að leitast eftir góðum hraða og hvað þá fyrir 100Mbps link - þau eru svona "all in one" box, skoðaðu þá asa 5505 boxin.



Er það nú ekki full metnaðarfullt fyrir heimatæki :)



Ertu að meina ASA boxið ? Nei alls ekki - færð fullt af fídusum útúr honum og þetta er ekki svo dýrt hliðiná þessum consumer routerum sem kosta líka sitt.. Getur fengið notuð svona box fyrir 150$+ úti.

Re: Cisco ACL vesein

Sent: Fim 06. Jún 2013 13:35
af Pandemic
Veit af ASA boxunum, ástæðan fyrir því að ég var að reyna þetta með router er bara að ég á hann og hérna til. Annars fer ég líklega í pfSense uppá framtíðina að gera.
Svo eru þessi leyfi á boxinn rándýr, það er bara hálfur sigur unninn að vera með hardwareið