[ACL INSIDE] Com'è possibile...

abcza · dom 07 set , 2008 11:51 pm

Ciao a tutti, sono nuovo dell'ambiente, ho cominciato a lavorare per un provider da pochi mesi quindi sto prendendo la mano con il mondo Cisco.

Dato che a casa mia ho messo su una rete cogliendo l'occasione per esercitarmi, ultimamente sto smanettando con le acl.

Queste sono le mie acl (per alcune parti ho preso spunto dai vostri thread, quindi ne approfitto per ringraziarvi):

Codice: Seleziona tutto

access-list 98 remark ##############################################################
access-list 98 remark ### ACL PER TELNET DA VTY ####################################
access-list 98 permit xxx.xxx.xxx.xxx
access-list 98 permit 192.168.1.0 0.0.0.255
access-list 98 deny   any log

access-list 99 remark ##############################################################
access-list 99 remark ### ACL PER PAT E NAT ########################################
access-list 99 permit 192.168.1.0 0.0.0.255

access-list 101 remark #############################################################
access-list 101 remark ### ACL PER TRAFFICO DA INTERNET AL ROUTER ##################
access-list 101 remark *** VARI ****************************************************
access-list 101 permit tcp any any established
access-list 101 permit tcp host xxx.xxx.xxx.xxx any eq telnet
access-list 101 remark *** RISOLUZIONE NOMI DNS ************************************
access-list 101 permit udp host 195.210.91.100 eq domain any
access-list 101 permit udp host 193.70.192.100 eq domain any
access-list 101 remark *** ICMP ****************************************************
access-list 101 permit icmp host xxx.xxx.xxx.xxx any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any ttl-exceeded
access-list 101 remark *** VPN *****************************************************
access-list 101 permit udp host yyy.yyy.yyy.yyy eq isakmp any
access-list 101 permit udp host yyy.yyy.yyy.yyy eq non500-isakmp any
access-list 101 permit tcp host yyy.yyy.yyy.yyy eq 10000 any
access-list 101 permit esp host yyy.yyy.yyy.yyy any
access-list 101 remark *** SKYPE ***************************************************
access-list 101 permit tcp any any eq 20344
access-list 101 permit udp any any eq 20344
access-list 101 remark *** EMULE ***************************************************
access-list 101 permit tcp any any eq 20300
access-list 101 permit udp any any eq 20400
access-list 101 remark *** TORRENT *************************************************
access-list 101 permit tcp any any eq 20500

access-list 102 remark #############################################################
access-list 102 remark ### ACL PER TRAFFICO DALLA LAN AL ROUTER ####################
access-list 102 remark *** LAN IP POOL *********************************************
access-list 102 permit ip 192.168.1.0 0.0.0.255 any

Le acl sono associate come segue:

98 = vty IN
99 = NAT
101 = dialer (è un adsl) IN
102 = vlan IN

Come vedete ho aperto qualche porta per il p2p e per la vpn, inoltre ho permesso un po di roba (telnet e icmp) dall'indirizzo xxx.xxx.xxx.xxx dove lavoro.
Il dubbio che mi viene è come ha fatto l'access list 98 (quella per le vty) a loggare un deny da parte di un 151.68.qualcosa. Quell'accesso non avrebbe dovuto essere bloccato a priori dall'acl 101?

EDIT: aggiungo, se può essere utile nell'analisi, che l'ip bloccato è un ip della stessa subnet (151.68.0.0) di quello che ha negoziato il mio dialer.

Grazie,
Ciao!

abcza · lun 08 set , 2008 3:37 am

Ecco un altro log del genere:

*Sep 8 01:50:18.779: %SEC-6-IPACCESSLOGNP: list 98 denied 0 80.180.124.101 -> 0.0.0.0, 1 packet

Come si può vedere dallo show access-lists, l'acl 101 non ha matchato nulla:

Extended IP access list 101
10 permit tcp any any established
20 permit tcp host xxx.xxx.xxx.xxx any eq telnet
30 permit udp host 195.210.91.100 eq domain any
40 permit udp host 193.70.192.100 eq domain any
50 permit icmp host xxx.xxx.xxx.xxx any
60 permit icmp any any echo-reply
70 permit icmp any any ttl-exceeded
80 permit udp host yyy.yyy.yyy.yyy eq isakmp any
90 permit udp host yyy.yyy.yyy.yyy eq non500-isakmp any
100 permit tcp host yyy.yyy.yyy.yyy eq 10000 any
110 permit esp host yyy.yyy.yyy.yyy any
120 permit tcp any any eq 38427
130 permit udp any any eq 38427
140 permit tcp any any eq 54500
150 permit udp any any eq 54600
160 permit tcp any any eq 30242

Preciso che in questo momento non sto facendo nulla se non utilizzare emule.

Wizard · lun 08 set , 2008 11:56 am

Elimina pure la access-class sulla line vty e metti tutti i permessi sulla acl in IN sulla dialer

abcza · lun 08 set , 2008 4:38 pm

Wizard ha scritto:Elimina pure la access-class sulla line vty e metti tutti i permessi sulla acl in IN sulla dialer

Ma a quel punto gli ip che vengono attualmente scartati dalla 98 non avrebbero "campo libero"? Daltronde sulla vty c'è solo un permit per gli indirizzi lan e uno per un singolo ip che uso dal lavoro.

Credevo che gli altri ip esterni fossero bloccati indirettamente dalla 101 non avendone permesso da nessuna parte l'ingresso dalla porta telnet...

Wizard · mar 09 set , 2008 10:39 am

Si in effetti la acl sulla interfaccia dialer dovrebbe avere la precedenza x i deny da internet!

abcza · mar 09 set , 2008 3:26 pm

Ti sei fatto un idea di come raggiungano la vty quegli ip? Da quanto ho potuto osservare la cosa è strettamente correlata al p2p. Nel momento in cui utilizzo emule e quindi vengono "pattate" un barile di connessioni, cominciano ad apparire quei log.

Wizard · mer 10 set , 2008 11:42 am

Sinceramente ingnoro il fatto che la acl si cmq colpita cmq sono sicuro che puoi gestire tutti gli accessi da internet compresa la management del router dalla acl in entrata sulla dialer

abcza · mer 10 set , 2008 1:40 pm

Ad ogni modo ora sembra a posto, non vedo più di quelle segnalazioni da diverso tempo (prima arrivavano quasi sistematicamente). Non ho fatto nulla di particolare se non rebootare il router...

[ACL INSIDE] Com'è possibile...

Login • Iscriviti