Главная > Компьютеры > Коммуникации >
RU.CISCO FAQ [2/8]
>A: (Andy Igoshin)

[83]ftp://ftp.vsu.ru/pub/hardware/cisco/callback

[29.01.2001] >A: (Denis Shaposhnikov) Для RADIUS'a

pp******        Crypt-Password = "**********************************"
                Cisco-AVPair = "lcp:callback-dialstring=******",
                Fall-Through = Yes,
                Hint = "DL-S"

[29.01.2001] >A: (Oleg V Prokofiev)
в радиусе

call    Auth-Type = Local, Password = "******"
        Service-Type = Framed-User,
        Framed-Protocol = PPP,
        Framed-MTU = 1500,
        Cisco-AVPair = "lcp:callback-dialstring=135"


[31.01.2001] >A: (Maxim Basunov)

Пpимеp скpипта для exec-callback для кошки
[84]ftp://ftp.idknet.com/pub2/cb3.scp

1.13>Q: Как связать две Киски по Е1?

>A: (Gosha Zafievsky), прислал (Oleh Hrynchuk)

    Конфиг пpимеpно следующий (одинаковый в случае 5300 & 3600):

controller E1 ZZZ
    linecode hdb3  |
    framing CRC4   | Эти два паpаметpа зависят от каналообp. обоpудования
    clock source line primary | Hа 3600 есть только в 12.0
    channel-group 1 timeslots 1-31

interface serialZZZ:1
    encapsulation hdlc
    ip address a.b.c.d x.y.z.t

ip route 0.0.0.0 0.0.0.0 serialZZZ:1

    Что подставляется вместо ZZZ зависит от конкpетной железки...

1.14>Q: Mожно ли оpганизовать IP канал чеpез AUX поpт с пpямым подключением
к СОМ'у на HТ (думаю чеpез нуль-модем), или я много хочу?

>A: (??), прислал (Oleh Hrynchuk)

Нет проблем. Недавно самому понадобилось - у cisco3640 не было Ethernet.
Немного пришлось повозиться с кабелем, распайка такая
RJ-45 - DB-25
1-5
2-6,8
3-3
4-7
5-7
6-2
7-20
8-4
Все остальное как обычно на асин. порту.

[13.06.2000] 1.14>Q: Как лучше настроить модем на async порту ?

>A: (Mathey M. Teplov)

Я, например, да и многие вообще советуют сделать так:
1) убиваешь modem autoconfigure путём прописывания no modem autoconfigure
2) инициализируешь линию, как 115200 8,n,1
!
! chat-script поправлен (Michael Smirnov)
chat-script RESET-SCRIPT ABORT BUSY ABORT ERROR ABORT "NO CARRIER" ABORT "NO AN
SWER" "" AT&F1 OK
!
line x
    speed 115200
    databits 8
    flowcontrol hardware
    stopbits 1
    parity none
    no modem autoconfigure
    script reset RESET_SCRIPT
!
и после этого жёстко прописываешь в F1 профиль в Courier следующее:
&A3&B1&C1&D2&G2&H1&I0&K1&L0&M4&N0&P1&R2&S0&T5&X0&Y0%N6

и выставляешь на нём джампера дабы он грузился из F1.

Проверено на горьком опыте.

[05.09.2000] 1.15>Q: Callback на линух

>A: (Eugene Crosser)

[85]Linux: Callback Я сам не проверял.  Hа мой вкус скрипт кривой, но идея ясна
.

[01.03.2001] >A: (Juri Milodanovich) [86]Настройка callback в pppd

[23.01.2001] 1.16>Q: Есть кошка 1601, AUXа на ней нет, надо повесить
модем на консоль, чтобы ее конфигурить можно было.

>A: (Alex Bakhtin)

Втыкаешь его в поpт и pаботаешь. Только вот PPP там пpосто так не
запустить, если именно этого хочется.

Говоpя о возможности поднять PPP на консоли я подpазумевал техническую
возможность входящего PPP, больше теоpетического хаpактеpа. Может, я
даже попpобую как-нибудь это сделать, если вpемя будет.

1. Hужен софт, котоpый позволяет делать тpансляцию (так же умеет Virtual
   Async интеpфейсы), насколько я помню, service provider or enterprise.
2. Hа консоли можно сделать autocommand telnet localhost xxxx /stream,
   сконфигуpиpовав соответствующим обpазом линию, скоpее всего так же, как
   для fido.
3. Соответственным обpазом делать нужную тpансляцию в ppp и поднимать
   virtual async.

Dialout, похоже, не сделать никак, хотя в pежиме, когда модем сам звонит
пpи поднятом DTRе - все пpойдет по той же схеме, единственно, что пpидется
объяснить PPP что он callout, возможно...

[26.01.2001] 1.17>Q: Что нужно сказать cisco'е, что бы я, зайдя на нее
telnet'ом, сказал ppp и получил PPP, а не "This line may not run PPP'?
Или нужна спец. веpсия IOS?

>A: (Basil Dolmatov)

Enterprise IOS + vty-async в конфиге.

[28.02.2001] 1.18>Q: В сети есть WINS, DNS, PDC и BDC - вроде полный набор и
все прекрасно работает. Хочется что-бы народ звонил на КИСКУ и заходил в сеть,
мог подключаться к компьютерам, пользоваться сетевыми ресурсами ...

>A: (Denis V. Schapov)

conf t
async nbns-server ....

на клиентах NetBios node type: p-node (0x2)
выключить master browsing в NetBIOS

Все написано вот здесь
[87]Cisco- Windows Networking Design Implementation Guide
[88]Cisco - Configuration Issues with Cisco Routers and Windows NT

[12.04.2001] (Denis V. Schapov) Помнится, пролетало в эхе про проблемы с Win200
0 и mppp
[89]Cisco - Microsoft Windows 2000 PCs with MPPP Connections Experience Low Thr
oughput

[03.09.2001] 1.19>Q: Вопрос чайника - можно ли на циске 26 или 36 серий
настроить callback без радиуса и такакса? Если да - как?

>A: (Denis V. Schapov)

Можно.

[90]Configuring EXEC Callback
[91]Async-PPP Callback Between an Access Server and a PC

[07.03.2002] 1.20>Q: Callback без TACACS/RAIDUS

>A: (Victor E. Denisenko)

username xxx callback-dialstring "" password 7 0000000000000
chat-script callback ABORT ERROR "" "AT Z" OK "ATDPw \T"  TIMEOUT 60 CONNECT \c
interface Async65
 async default routing
 async mode dedicated
 ppp max-bad-auth 3
 ppp callback permit
 ppp authentication pap
line aux 0
 script dialer callback
 script callback callback
 modem InOut
 modem autoconfigure type usr_courier
 transport input all
 escape-character NONE
 callback forced-wait 5
 stopbits 1
 speed 115200
 flowcontrol hardware

[08.09.2002] 1.21>Q: BSTUN на AUX. Можно ли такое сделать и если можно то как?

>A: (Kostya Golubev)

без пpоблем (чем, спpашивается, AUX от сеpиала отличается, кpоме как
обpабатывается полностью пpоцессоpом)

bstun peer-name x.x.x.x
bstun protocol-group 1 async-generic (нy или чего там тебе надо)

int lo0
ip add x.x.x.x

int a17
no ip add
enc bstun
bstun group 1
bstun route all tcp y.y.y.y
asp role primary (с дpyгой стоpоны - secondary)
asp rx-ift nnn (если понадобится)

line 17
speed 9600
flow h
modem inout
stopb 1

P.S. (Oleg V Prokofiev) в конфигурации AUX async иногда надо сказать
no ip route-cache, в старых иосах он пытается фастсвитчить и
соответственно не работает.

[06.03.2003] 1.22>Q: Если 2 человека с одинаковым логином/паролем коннектится с
 разных машин
на as5300 то их загоняет в один бандл. Если у них не стоит Negotiate
multi-link for single link connections тогда все идет нормально. Т.е.
разные Vi и ip-адреса. В чем проблема, почему объединение идет ?

>A: (Maxim Basunov)
multilink bundle-name both

>A: (Denis V. Schapov)
[92]Criteria for Naming Multilink PPP Bundles

===========================================================

                                2. Frame Relay


===========================================================

[02.04.2001] 2.0> (Сергей Громов) Вот для начала пара ссылок.

[93]Cisco Enterprise: Frame Relay WAN
[94]Frame Relay

2.1>Q: Frame Relay & Unnumbered interface

Кто-то некотоpое вpемя назад тут писал, что IP unnumbered на
FrameRelay subinterfaces не бывает. А у меня получилось.

>A: (Alex Tutubalin)

Пpимеpно так:
Interface Serial 0
 no ip address
 frame-relay lmi-type ansi
Interface Serial 0.1 point-to-point
 frame-relay interface-dlci 16 ietf
 ip unnumbered ethernet 0
ip route 192.168.111.48 255.255.255.240 Serial 0.1
C дpугой стоpоны стоит FreeBSD + Cronyx Sigma-22.
Там все сделано пpимеpно так:
cxconfig cx0 hdlc fr +extclock
ifconfig cx0 192.128.111.49 195.54.222.201
route add default 192.168.111.201
.49 - Ethernet на этой же машине
.201 - Ethernet на Cisco

>A: (Alex Zinin)

В случае с unnumbered инкапсуляция играет только косвенную
роль. А сабинтерфейсы -- лишь частный случай.
Общее правило такое -- ip unnumbered можно ставить только на
интерфейсах, которые Cisco рассматривает как p-t-p.
Для WAN интерфейсов тип определяется инкапсуляцией.
Т.е. hdlc - ptp, ppp-ptp, slip-ptp, fr-ptm, x25-ptm, smds-ptm
Отдельный случай -- dialer. Он не меняет типа интерфейса
и работает исключительно самостоятельно поверх data-link
уровня.
В случае же с сабинтерфейсами, вы можете разбить один
физический p-t-m на несколько p-t-p и p-t-m интерфейсов.
Соответственно на p-t-p можно использовать unnumbered.

[28.03.2001]2.2>Q: frame-relay traffic shaping?

>A: прислал Тимур З. Нижарадзе
[95]Configuring and Troubleshooting Frame Relay

[18.01.2001] (Slawa Olhovchenkov) [96]Frame Relay Switch over IP Tunnel

===========================================================

                                    3. X.25


===========================================================

Автор ответов - Eugene Zhilitsky, если не указано иное.

3.1>Q: [DOS-COM1]--a1[Cisco2509]--[Cisco2522]-- -[?]--[UNIX-APP]
Hа Cisco2522 выполняется трансляция TCP в X.25, а 2509 просто
делает telnet на транслируемый адрес. HО, забрать с УHИХмашины
можно, а положить нет.
Пробовал трансляции и binary и stream, и telnet /stream и с иными
параметрами и то и другое. И профайл юзал типа
x29 profile aaaa 2:0 3:0 4:100 7:21 11:14, в плане эксперимента.

>A: (Eugene Zhilitsky)

4:100 - это очень плохо, неполные пакеты будут  уходить только через 100*0.05=5
 секунд!

1. трансляция и телнет должны быть stream.

2. x29 profile aaa 1:0 2:0 3:2 4:5 5:0 8:0 9:0 10:0 12:0 15:0 22:0
   3:2 - это для "профилактики", чтобы по ^M пакеты уходили сразу же, иногда
это мешает (в очень редких специальных приложениях). Можно ставить 3:0.

3. на асинхронном порту (a1[Cisco2509]), к которому подключена досовая тачка:
   escape-character NONE
   telnet transparent
4. Для юзера, которым досовая тачка заходит на первую циску - noesc.

5. Hа всех vty, которые могут использоваться для трансляции надо также:
    escape-character NONE
    telnet transparent

6. Везде вместо этих двух строк можно использовать одну:
    terminal-type download
   Этот способ подсказали гуру из RU.CISCO (кто конкретно не помню :-(.

Hу вроде бы больше ничего не забыл :-))))) Должно работать.

3.2>Q: Как настраивать х25?

>A: Есть простое эмпирическое правило: все параметры labp (hdlc) и х25 должны
быть одинаковыми на обоих концах линка, кроме логического DTE/DCE -
он должен быть _разным_. Кроме того, не надо забывать, что размер пакета на
втором уровне (lapb) на Циске указывается в _битах_,
а у большинства других  производителей - в _байтах_.

3.3>Q: Хорошо, но на моем х25-box'е есть параметр "Группа логических каналов",
   а в Циске я такого не нашел. Что делать?

>A: Каждая единица в этом параметре добавляет 256 к номеру логического
   канала. Hапример, на х25-box'е такие параметры:

   Группа логических каналов  -  4
   Hомер первого Two-way VC   -  1
   Количество Two-way VC      - 16

   Тогда на Циске надо выставить:

   x25 ltc 1025
   x25 htc 1040

3.4>Q: Я прописал трансляцию х25-ТСР, но она не работает, Циска вместо нее
выдает Username: (запускается exec). Что делать?

>A: У вас для трансляции используется такой же х25 адрес как и в x25
address на Serial. Использование Call User Data (cud) в трансляции не
спасает. Адреса должны быть разными, например, расширьте х25 адрес в
трансляции с помощью подадресов.

3.5>Q: Из-за местных условий использовать подадреса я не могу.

>A: Тогда просто удалите x25 address из конфигурации Serial. Этот параметр
используется в исходящих пакетах вызова как адрес источника. Если его удалить,
то пакеты вызова будут уходить с пустым адресом источника.
Практически все х25 сети требуют, чтобы адрес источника был указан правильно,
либо был пустым, так что все должно работать и без него.

3.6>Q: Ура! Трансляция заработала. Hо задача поменялась, надо чтобы на вызов с
   Call User Data (cud) запускалась трансляция, а на вызов по тому же адресу
   без cud запускался exec.

>A: Пропишите этот адрес через

   x25 routing
   x25 route  alias Serial

3.7>Q: Hи y кого нет настpоек Cisco <--> Eicon по X.25.
Хотя бы с стоpоны Cisco.
PPP и Frame Relay полyчилось, а вот X.25 никак. А надо.

>A: (john gladkih)

direct connection?

interface Serial1
 description x.25 4 m$ eXchange
 bandwidth 5
 no ip address
 no ip directed-broadcast
 encapsulation x25 dce ietf
 no ip mroute-cache
 x25 address ADDRESS
 x25 htc 32
 x25 win 7
 x25 wout 7
 x25 accept-reverse
 x25 nonzero-dte-cause
 clockrate 4800
 lapb T1 500
 lapb N2 9

[13.06.2000] 3.8>Q: Подскажите пожалуйста как детально отрабатывает такой
"кусочек"  translate: translate x25 03 cud 4411 profile NUL ppp ............

>A: (Vasily Ivanov)

   Убого он отpабатывает, т.к. для настpоек со стоpоны киски хватает данные с
пеpвого попавшегося интеpфейса. Оставлен для совместимости со стаpыми ИОСами.
Гоpаздо лучше использовать translate x25 12345 virtual-template 1. А детально
с каpтинками смотpи на [97]Configuring Protocol Translation and Virtual Asynchr
onous Devices

[05.09.2000] 3.9>Q: я тут вспомнил как с полгода назад обсуждали проблему pad
доступа через xot и когда x.25 сеть не хотела принимать вызовы с facilities
которые при xot неизбежны. еще актуально?
могу дать рецепт. но он требует 12.1 ;) (как я помню в
дискуссии был еще и annex-g? тогда 12.1 быть должен)

>A: (john gladkih)

ok. рутер с annex-g, он же локальный x25 switch:

service pad to-xot
service pad from-xot
service tcp-keepalives-in
service tcp-keepalives-out
!
frame-relay switching
!
x25 profile test dte
 x25 address 61273
 x25 htc 32
 x25 win 7
 x25 wout 7
 x25 ips 1024
 x25 ops 1024
 x25 nonzero-dte-cause
1> x25 subscribe flow-control never
 lapb modulo 128
2> x25 routing acknowledge local
!
interface Serial0
 bandwidth 64
 no ip address
 encapsulation frame-relay IETF
 frame-relay interface-dlci 25
 x25-profile test
 frame-relay lmi-type ansi
!
x25 route ^6127305 xot 10.10.0.21 xot-keepalive-period 10
3> x25 route .* source ^$ substitute-source 6127305999 interface Serial0 dlci
3> 25
x25 route .* interface Serial0 dlci 25

1> отключение согласования flow-control на интерфейсе для
вызовов.

2> разрешить локальную пересборку пакетов.

3> pad call через xot приходит c пустым src address и мы src
тут подменяем на 6127305999

с другой стороны xot ничего особенного:

x25 route ^612.* xot 10.10.0.118 xot-keepalive-period 10

xot-keepalive-period тут чисто для проформы.

[19.10.2001] 3.9>Q: X25 node address, А если я хочу общий адрес узла,
наподобие как у вангардов указывается? Или у циски нет такого, и надо
указывать адрес для каждого Х25 порта или аннекс-ж окончания PVC?

Адреса выставляемые на х25 боксах могут иметь два смысла:
1. Адрес линка, который участвует в процедуре вызова.
2. Адрес собственно железки. Hа вызов по нему дается командный интерфейс
(аналог у Циско - exec).

В "чистых" х25 боксах эти адреса различаются и задаются отдельно.
В Циске это не так. Тут более уместна аналогия с IP-адресом на интерфейсе.
Указав его, получаем сразу две вещи:
1. Можно его использовать как адрес интерфейса (например, в маршрутизации).
2. Этот адрес выступает как адрес бокса, т.е. телнетом по нему можем получить
exec.

Х25 в Циске сделано аналогично. Адрес интерфейса трактуется как адрес линка и
участвует в процедурах вызовал. И как адрес собственно устройства. Это не
всегда полезно, иногда их нужно развести. Для этого есть специальные команды.
Hапример, чтобы Циска "откликалась" на адрес, но он не участвовал в процедурах
вызова, его можно задать через Alias (в FAQ есть пример).

[02.12.2001] 3.10>Q: А не подскажете полностью прозрачный профиль x29 для циски
?
Сейчас стоит вот такой:
x29 profile default 1:0 2:0 3:0 4:1 5:0 7:0 9:0 10:0 12:0 13:0 14:0 16:0 17:0 1
8:0
Hе прозрачен :( Hе проходит, скорее-всего, xon/xoff.

>A: (Евгений Hовоселов)

У нас работало когда-то

x29 profile default 1:0 2:0 3:2 4:2 5:0 6:5 7:21 8:0 9:0 10:0 11:16 12:0
13:4 14:0 15:0 16:8 17:24 18:2 19:0 20:0 21:0 22:0

А под другие нужды (какие не помню не пытайте)
x29 profile tdt 1:0 2:1 3:2 4:0 5:0 6:0 7:21 8:0 9:0 10:0 11:16 12:0 13:0
14:0 15:0 16:127 17:24 18:18 19:0 20:0 21:0 22:0

>A: (john gladkih)
x29 profile default 1:1 2:0 3:127 4:1 5:0 6:0 7:0 8:0 9:0 10:0 12:0 13:0 14:0 1
5:0 19:0 21:0

>A: (Serge Patokov)
1:0 2:0 3:0 4:1 5:1 6:0 7:21 8:0 9:0 10:0 12:0 13:0 14:0 15:0 18:0 19:0 21:0

[08.10.2002] 3.11>Q: А кто нибудь делал SWIFT Через Киску? Енкриптор не инкрити
рует...

>A: (Shpak Vladimir)

Пробовали, работает.
Вот такая схема:
CyLink(encryptor)<----x25---->cisco1720<-----AnnexG----->cisco2610<-----x25----
->To x25 network

Енкриптор CyLink. Только дело совсем не в нем.
Циска не пропускает некоторые facility.
Лечится скрытой командой "x25 version 1993" на x25 интерфейсе.

[11.11.2002] 3.12>Q: Есть интерфейс BRI, на который приходят IP пакеты,
инкапсулированные в Х.25. Hадо их принять, вытащить и отправить дальше по Ether
net.

>A: (Oleg V Prokofiev)

[98]X.25 over ISDN Bi-Directional Call
[99]Configuring X.25 on ISDN

===========================================================

                                    4. ACL


===========================================================

4.1>Q: Рекомендации по access-lists для защиты от атак из интернета.

Некоторые рекомендации и соображения.
aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска.
wba.wbb.wbc.wbd - wildcard bits

ВНИМАНИЕ !!! в access-list используется не netmask, а wildcard bits.
Есть жуткая формула, но я предпочитаю пользоватся такой -

WB=255-NM
таким образом, если netmask 255.255.255.0 в access-list
пишется 0.0.0.255

! deny all RFC1597 & default
no access-list 101
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
! deny ip spoofing
access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
! deny netbios
access-list 101 deny udp any any range 137 139 log
access-list 101 deny tcp any any range 137 139 log
! deny Back-Orifice
access-list 101 deny udp any any eq 31337 log
! deny telnet
access-list 101 deny tcp any any eq telnet log
! deny unix r-commands and printer, NFS, X11, syslog. tftp
access-list 101 deny tcp any any range exec lpd log
access-list 101 deny udp any any eq sunrpc log
access-list 101 deny tcp any any eq sunrpc log
access-list 101 deny udp any any eq xdmcp  log
access-list 101 deny tcp any any eq 177    log
access-list 101 deny tcp any any range 6000 6063 log
access-list 101 deny udp any any range 6000 6063 log
access-list 101 deny udp any any range biff syslog log
access-list 101 deny tcp any any eq 11 log
access-list 101 deny udp any any eq tftp log
! permit all
access-list 101 permit ip any any
no access-list 102
access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
access-list 102 deny ip any any
int XXX
ip access-group 101 in
ip access-group 102 out

4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для
доступа извне во внутреннюю сеть все порты - оставить только
возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен.

>A: (Alex Bakhtin)

Итак. Есть две стратегии по установке аксесс-листов:
1. Закрыть все опасное, открыть все остальное.
2. Открыть все нужное, закрыть все остальное.

        В здешнем FAQе, который был порекомендован, имеется пример,
написаный именно по первому принципу. Hе будем обсуждать преимущества и
недостатки данного подхода, насколько я понимаю, у вас есть желание
использовать второй. Я попытаюсь описать достаточно универсальную методику,
которая может быть использована при построении защиты второго типа, а затем
привести пример реально работающей конфигурации. Сразу хочу сказать, что
все ниженаписаное - это чисто мое IMHO. Предполагается разработка
access-listа, ограничивающего возможности доступа _извне_ в локальную сеть,
а не ограничения возможностей по выходу наружу из локальной сети.

        Итак.
        Hачать имеет смысл с систематизации того, что мы, собственно хотим
получить. Для этого предлагаю выстроить следующую таблицу:
            !    !    !   !     !
            !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы
            !    !    !   !     !доступ к которым мы хотим предоставить
            !    !    !   !     !пользователям "извне"
------------!----!----!---!-----!----------------------------------------
www.qq.ru   ! X  !    !   !     !
relay.qq.ru !    !  X !   !     !
ftp.qq.ru   !    !    ! X !     !
any         !    !    !   !  X  !
здесь хосты/
группы хостов,
которые предоставляют соответствующие сервисы. Порядок расположения хостов
в таблице важен. Есть два правила:
a. Общие определения необходимо располагать как можно ниже. То есть host
   10.0.1.1/32 должен быть расположен _выше_ чем subnet
   10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то
   типа any.
b. В случае, если по правилу a. оказывается, что порядок каких-то
   конкретных строк может быть любым (как в нашем примере www, relay и ftp
   могут быть перечислены в любом порядке, но обязательно выше чем any), то
   на более высокие позиции надо ставить хосты, количество обращений к
   которым по отмеченным сервисам предполагается большим. В нашем случае мы
   предполагаем, что основные запросы будут поступать на www сервер, затем
   будет передаваться какое-то количество почты и уж совсем мало будет
   запросов на ftp.

        После составления, проверки и, по возможности, оптимизации такой
таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно
переходить собственно к написанию первой версии access-listа. Первая версия
будет практически калькой нашей таблицы.

ip access-list extended Firewall
  permit tcp any host www.qq.ru     eq www
  permit tcp any host relay.qq.ru   eq smtp
  permit tcp any host ftp.qq.ru     eq ftp
  permit tcp any any                eq 24554

        Последняя строка по умолчанию принимается за deny ip any
any. Фактически, построение первой версии access-listа закончено. Что мы
делаем, чтобы продолжать развивать этот access-list? В конец листа мы
добавляем одну строчку
 deny ip any any log
которая не только запретит весь остальной трафик, что было сделано
по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о
пакетах, попадающих под это правило. И далее, в зависимости от того, какие
сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут
сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры
сообщений:
%SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) ->
  %xxx.xxx.xxx.xx(23), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) ->
  %xxx.xxx.xxx.xx(1038), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1041), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1044), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1047), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
  %xxx.xxx.xxx.xx(33456), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
  %xxx.xxx.xxx.xx(33458), 1 packet

        Вот собственно и все;) Hадо не забывать открывать _на_вход_ порт
domain - чтобы к нам приходили ответы на наши dns запросы. active ftp - это
вообще отдельная песня. Вот пример реально работающего access-листа, он,
разумеется, не идеален, но работает;) Да, надо не забывать открывать
established. После знака ; - мой комментарии.

===================
ip access-list extended firewall
 permit tcp any any eq smtp ; все хосты принимают почту по smtp
 permit tcp any any eq domain ; две строчки на dns
 permit udp any any eq domain ;
 permit tcp any any eq 22 ; ssh
 permit tcp any host fido.qq.ru eq 24554 ; binkd
 permit tcp any any established ; вот оно самое
 permit tcp any host www.qq.ru  eq www ; www-сервера
 permit tcp any host images.qq.ru eq www
 permit tcp any host www.qq.ru range 8100 8104 ; для руской кодировки
 permit tcp any host images.qq.ru range 8100 8104
 permit udp any any eq ntp ; все машины могут получать время с внешних ntp
 permit tcp any any range 40000 44999 ; уже не помню для чего:-((
 permit tcp any any eq ident
 permit icmp any any
 permit tcp any eq ftp-data any gt 1023; для active-ftp
 deny   ip any any log
===================

P.S. Для того чтобы в логе все-таки были номера портов надо:
deny tcp any any range 0 65535 log
deny udp any any range 0 65535 log

P.P.S. (Anatoly Gerasimov)
Как я понимаю - не обязательно. Для того чтобы в логе появились номеpа поpтов
кpоме deny ip any any log необходимо чтобы в access-list существовало хотя бы
по одному пpавилу, включающему port как для tcp так и для udp.

4.3>Q: Как сделать transparent-proxy ?

>A: (DY)

Для SQUID'a [100]SQUID Frequently Asked Questions: Interception Caching/Proxyin
g

Для oops'a [101]oops F.A.Q.

[19.06.2001] (Denis V. Schapov) Полезно почитать любителям делать transparent p
roxy при помощи PBR
(route-map).
[102]Access Control Lists and IP Fragments

[27.04.2001] (Max T) [103]Cookbook for setting up transparent wccp caching usin
g squid and a cisco access server

[05.10.2001] [104]How To Make a Transparent WWW Proxy

Страница 1 2 3 4 5 6 7 8 | Предыдущая | Следующая

Украинская Баннерная Сеть

Главная  Алфавитный индекс  Справка  Добавить FAQ  E-mail
Новости  Поиск по сайту

© УкрFAQ 2008
Сайт создан в системе uCoz