Forum » Omrežja in internet » Cisco in omejitev prometa na portu 25
Cisco in omejitev prometa na portu 25
Djuro ::
Zdravo!
Rabim malo pomoči, če mi zna kdo pomagat.
Rad bi naredil access listo tako, da bi dovolil pošiljanje prek smtp ( destination port TCP 25) zgolj enemu ipju, na katerem je poštni strežnik.
Da recimo delovna postaja, ki ima kakšen spam virus ne more pošiljat.
Je to možno?
Rabim malo pomoči, če mi zna kdo pomagat.
Rad bi naredil access listo tako, da bi dovolil pošiljanje prek smtp ( destination port TCP 25) zgolj enemu ipju, na katerem je poštni strežnik.
Da recimo delovna postaja, ki ima kakšen spam virus ne more pošiljat.
Je to možno?
Djuro ::
Bi šlo takole?:
access-list 111 permit tcp host [ip of smtp server] any eq 25
access-list 111 deny tcp any any eq 25
access-list 111 permit ip any any
access-list 111 permit tcp host [ip of smtp server] any eq 25
access-list 111 deny tcp any any eq 25
access-list 111 permit ip any any
crniangeo ::
Aha smtp je exchange znotraj podjetja , torej se da nastaviti na exchangeu da je on edini smtp in nobeden ne more preko njega posiljat... to je cool... (exchange je samostojni smtp , in outlook je povezan preko njega ( torej server sam posilja)) (na routerju nastavis edin ki ima access za vn - exchange)
Cisco .. damn , ne poznam ga tako dobro da bi karkol rekel je pa res da mroas ustvariti rule ki samo za njega pusti port 25 vn/not whatever ne vem pa kaj je tist 111
Če je kakor je bsd zasnovan - bi to moralo predstavljat število rula
torej rule 111
naslednji 112 itd itd..
ne vem , nisem se nikoli kaj preveč igral s cisco routerji .. tko da žal.. aja .. mot me pa tist permit ip any any
ker to bi pomenilo : dovoli vse ipje za vse protokole ( ker pac nista omenjena tcp/udp in ostali)
Pač moja logika je mal čudna..
Cisco .. damn , ne poznam ga tako dobro da bi karkol rekel je pa res da mroas ustvariti rule ki samo za njega pusti port 25 vn/not whatever ne vem pa kaj je tist 111
Če je kakor je bsd zasnovan - bi to moralo predstavljat število rula
torej rule 111
naslednji 112 itd itd..
ne vem , nisem se nikoli kaj preveč igral s cisco routerji .. tko da žal.. aja .. mot me pa tist permit ip any any
ker to bi pomenilo : dovoli vse ipje za vse protokole ( ker pac nista omenjena tcp/udp in ostali)
Pač moja logika je mal čudna..
Djuro ::
Na zunanjem interface-u imam sedaj narejeno :
ip access-group 112 out
in v access-listi 112 zapisano:
access-list 112 deny tcp any any eq 22
access-list 112 permit ip any any
access-list 112 permit tcp host 192.168.1.249 any eq smtp
access-list 112 deny tcp any any eq smtp
Zaprtje porta 22 sem dal zgolj za testiranje, da vidim če dela. In res, sedaj ne morem več ssh-jat.
Ampak, še vedno pa se lahko telnetam na bilokateri smtp server zunaj firme.
Kaj sem naredil narobe?
ip access-group 112 out
in v access-listi 112 zapisano:
access-list 112 deny tcp any any eq 22
access-list 112 permit ip any any
access-list 112 permit tcp host 192.168.1.249 any eq smtp
access-list 112 deny tcp any any eq smtp
Zaprtje porta 22 sem dal zgolj za testiranje, da vidim če dela. In res, sedaj ne morem več ssh-jat.
Ampak, še vedno pa se lahko telnetam na bilokateri smtp server zunaj firme.
Kaj sem naredil narobe?
Djuro ::
Aja, še tole bi vprašal (v ciscotu sem res bos):
kako izbrišem kakšen rule iz access liste?
no access-list in celo klobaso zadaj ali kako?
kako izbrišem kakšen rule iz access liste?
no access-list in celo klobaso zadaj ali kako?
Zgodovina sprememb…
- spremenil: Djuro ()
Djuro ::
No, evo vsak dan se človek nauči kaj novega.
Če daš sh ip access-list ti pokaže entryje označene s ciframi (tko kot je blo v starih časih basica). Brisanje sedaj ni problem ;-).
Še vedno pa lahko workstationi dostopajo direktno do smtp serverjev izven firme.
Če daš sh ip access-list ti pokaže entryje označene s ciframi (tko kot je blo v starih časih basica). Brisanje sedaj ni problem ;-).
Še vedno pa lahko workstationi dostopajo direktno do smtp serverjev izven firme.
tomazkl ::
Mogoče tako:
!omogoči strežniku pošiljanje ven
access-list 112 permit tcp host 192.168.1.249 any eq smtp
!onemogoči vsem ostalim dotop na port 25
access-list 112 deny tcp any any eq 25
!omogoči ves ostali promet
access-list 112 permit ip any any
Mogoče je bolje, če pripneš access-listo na notranji vmesnik na ruterju:
access-group 112 in
S tem onemogočiš promet že na vstopu v ruter, ne pa da ruter najprej odruta promet do zunanjega vmesnika, kjer ga itak zavrže.
Pri access listah je logika taka, da pregleduje vrstice sekvenčno in ko naleti na "match", izvede to kar piše v vrstici in zapusti listo. Pride spet nov paket in gre spet od vrha navzdol, tako da je pomemben vrstni red v listi.
!omogoči strežniku pošiljanje ven
access-list 112 permit tcp host 192.168.1.249 any eq smtp
!onemogoči vsem ostalim dotop na port 25
access-list 112 deny tcp any any eq 25
!omogoči ves ostali promet
access-list 112 permit ip any any
Mogoče je bolje, če pripneš access-listo na notranji vmesnik na ruterju:
access-group 112 in
S tem onemogočiš promet že na vstopu v ruter, ne pa da ruter najprej odruta promet do zunanjega vmesnika, kjer ga itak zavrže.
Pri access listah je logika taka, da pregleduje vrstice sekvenčno in ko naleti na "match", izvede to kar piše v vrstici in zapusti listo. Pride spet nov paket in gre spet od vrha navzdol, tako da je pomemben vrstni red v listi.
b ::
Cisco ACL se izvršuje v vrstnem redu, kot so zapisani vnosi. Prvi match stvar prekine in pusti paket čez ali pa ga zavrne.
Poglej kaj imaš v drugi vrstici ACL-ja, pred tistimi vnosi za port 25.
Edit: tomazkl me je za trenutek prehitel... še komentar na njegov post:
Če hočeš imet v ACL-ju komentarje, ki ostanejo, ni pametno uporabit '!', temveč raje remark, ki se ne izgubi pri shranjevanju konfiguracije:
access-list 112 remark omogoči strežniku pošiljanje ven
access-list 112 permit tcp host 192.168.1.249 any eq smtp
access-list 112 remark onemogoči vsem ostalim dotop na port 25
access-list 112 deny tcp any any eq 25
access-list 112 remark omogoči ves ostali promet
access-list 112 permit ip any any
To se da zapisati tudi drugače:
ip access-list standard 112
remark omogoči strežniku pošiljanje ven
permit tcp host 192.168.1.249 any eq smtp
remark onemogoči vsem ostalim dotop na port 25
deny tcp any any eq 25
remark omogoči ves ostali promet
permit ip any any
Se mi zdi, da je tudi bolj pregledno. Namesto ID-ja (112) lahko poimenuješ ACL tudi opisno (ip acces-list standard blockoutgoing naprimer).
Poglej kaj imaš v drugi vrstici ACL-ja, pred tistimi vnosi za port 25.
Edit: tomazkl me je za trenutek prehitel... še komentar na njegov post:
Če hočeš imet v ACL-ju komentarje, ki ostanejo, ni pametno uporabit '!', temveč raje remark, ki se ne izgubi pri shranjevanju konfiguracije:
access-list 112 remark omogoči strežniku pošiljanje ven
access-list 112 permit tcp host 192.168.1.249 any eq smtp
access-list 112 remark onemogoči vsem ostalim dotop na port 25
access-list 112 deny tcp any any eq 25
access-list 112 remark omogoči ves ostali promet
access-list 112 permit ip any any
To se da zapisati tudi drugače:
ip access-list standard 112
remark omogoči strežniku pošiljanje ven
permit tcp host 192.168.1.249 any eq smtp
remark onemogoči vsem ostalim dotop na port 25
deny tcp any any eq 25
remark omogoči ves ostali promet
permit ip any any
Se mi zdi, da je tudi bolj pregledno. Namesto ID-ja (112) lahko poimenuješ ACL tudi opisno (ip acces-list standard blockoutgoing naprimer).
Zgodovina sprememb…
- spremenilo: b ()
Djuro ::
Hvala obema! Hvala tudi za razlago, da razumem kaj pravzaprav delam oz. kako zadeva funkcionira.
Mimogrede, je vseeno če delaš na routerju prek telneta oz. sshja oz. SDMja? Se mi zdi da včasih SMD ne prihaže vsega.
Mimogrede, je vseeno če delaš na routerju prek telneta oz. sshja oz. SDMja? Se mi zdi da včasih SMD ne prihaže vsega.
tomazkl ::
SDM nisem nikoli resno uporabljal, bi pa rekel, da se odloči za eno od variant (SDM ali CLI) in se je drži. Če malo mešaš, potem SDM mogoče kdaj res ne pokaže vsega. Velja pa isto, kot povsod drugje - grafični vmesniki so sicer "fancy", CLI je pa zakon.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Nastavitev QosOddelek: Pomoč in nasveti | 1141 (706) | JanezH |
| » | VPN povezava dveh PIX 501Oddelek: Omrežja in internet | 1354 (1175) | jl |
| » | Cisco Soho 851 router in msn messenger ne delaOddelek: Omrežja in internet | 2023 (1861) | bacho |
| » | Cisco 2621 routerOddelek: Strojna oprema | 1956 (1819) | Djuro |