Subnets.ru

[Ramirez]

Почитал что нашел на русском, например тут: http://telecom.opennet.ru/cisco/acl.shtml
Автор описывает ситуацию с протоколом IP в главе про расширенные списки.
В общем на текущий момент осилил только Cisco Network Assistant с синтаксисом по телнету туговато.

Настроил все следующим образом:
Vlan1 моя локалка подсеть №1 в нее одним интерфейсом смотрит машина, которая будет инициировать обмен - host "A".
Vlan2 подсеть №2 в нее другим интерфейсом смотрит таже машина и второй порт в этом Vlan от Сервера - host"B".
Списки ACL 2 штуки:
1. на Vlan2 на вход порта который ведет к серверу (host "B") -
Extended IP access list 101
deny tcp host "B" host "A"
deny udp host "B" host "A"
permit ip host "B" host "A"

2. на Vlan2 на вход порта который идет от машины инициирующей обмен файлами (host"A") -
Extended IP access list 102
deny tcp host "A host "B
deny udp host "A" host "B"
permit ip host "A" host "B"

В общем вопросы возникают следующие:
Насколько отвечают данные настройки поставленной задаче?
Нужно ли еще запретить ICMP ?
Согласно Cisco Network Assistant при настройке расширенного списка доступа, список доступных протоколов большой и
нет строки any, есть только other.
Мне что каждый протокол в явном виде запрещать???

[root]

1. расширенные списки нужны для того, если ты хочешь запрещать какие то конкретные протоколы и порты,мне кажется что в твоем случае тебе хватит стандартного аксесс листа, т.к. тебе тупо нуна разрешить весь трафик от хоста "А" до хоста "Б". Или ты хочешь морочится к конретными портами ?

2. при отработки ACL железка двигается по правилам сверху вниз и ищет наилучшее совпадение, как только она его находит обработка ACL заканчивается.
В написанном тобой ACL ты запретил трафик от хоста "Б" до "А" полностью, т.к. до правила permit железка никогда не доберется.
Так же стоит учитывать, то что в конце любого ACL и route-map идет неявный deny, т.е. запрет всего остального и опять же твой ACL запретити весь остальной трафик, т.е. вообще ничего работать не будет.

3. Тебе же написали, что 2960 свич, а не роутер и вешать аксесс лист нужно на физический ПОРТ, а не на vlan.
Access Lists (Router ACL, Port ACL, VLAN ACL, MAC ACL)

4.

, список доступных протоколов большой и нет строки any, есть только other.

слово "ip" подразумевает под собой "Any Internet Protocol", т.е. и tcp и udp и icmp и т.д.
об этом же написано если в режиме ввода ACL вести знак "?":

Код: Выделить всё

cisco(config-ext-nacl)#permit ?

<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol

в предыдущем сообщении я дал тебе линк:

тут все доступно описано: Configuring IP Access Lists

открой, почитай что там пишут

[Ramirez]

За ссылку сенк, читаю потихоньку.

ACL вешаю как раз на порт.
Два Vlana на Cisco просто для удобства подсетки все равно разные.
Маршрутизируется до сервера другим оборудованием.
Теперь почему расширенный ACL. Мне нужно чтобы трафик шел с host "A" на host "B" при чем ТОЛЬКО файловый обмен.
Безовсяких WWW, пингов и прочей лабуды. Это раз.
А второе - желательно, чтоб с host "B" на host "A" глухо ничего не проходило, но тут вопрос - как будет ACL обрабатывать пакеты идущие в ответ.

[Ramirez]

При указанных настройках пинги до сервера проходят, а сетевой ресурс не видно.
Про пинги понятно, не запретил ICMP, проверяю - ставлю deny ICMP host"A" host "B" в предпоследнюю строку - пинг пропал.
Ну а доступ к сетевой шаре нужно наверное указать номером протокола IP и он наверное будет - 6 - TCP. Хотя странно, я же выше его отбросил, ушел пробовать.

[Андрей]

Мне нужно чтобы трафик шел с host "A" на host "B" при чем ТОЛЬКО файловый обмен.

у вас трафик будет ходить не с хоста А на хост Б, а с порта А на порт Б.

Мне нужно чтобы трафик шел с host "A" на host "B" при чем ТОЛЬКО файловый обмен.Безовсяких WWW, пингов и прочей лабуды.

Тут какие порты будут доступны для хождения - по тем и будет ходить

Код: Выделить всё

cat /etc/services

(для убунту и фри)
если smb. то 455 tcp порт, если www - 80 tcp порт. В любом случае на этих портах ходят сигналы и пакеты (1L и 2L OSI).

[Ramirez]

Ну все правильно же, а на портах прописано с каких хостов и в каком направлении пропускать трафик.
Для этого же вроде ACL.
Не нужны мне никакие Убунты и фри и smb а тем более www.
Нужен нужно элементарно положить файлы на сервер
сейчас курю таблицы в протоколе TCP. Похоже нужно искать гуру Cisco, сам я уже зарываться начинаю, а это всего начальный этап задачи.

[Ramirez]

Host "A" машина c WinXP, Host "B" сервер с WinNT. Задача положить на сервак файлы при этом закрыть все лишние протоколы и порты.

[Андрей]

Не нужны мне никакие Убунты и фри и smb а тем более www.Нужен нужно элементарно положить файлы на серверсейчас курю таблицы в протоколе TCP.

Чтобы появился файл его надо как-то создать. Сделать это можно 2мя способами - локально и глобально. Локально - в вашем случае правой кнопкой мыши и т.п. или приложением. Глобально - используя локальную сеть, которая в свою очередь использует какую-либо службу, которая, в свою очередь, работает на каком-либо tcp/udp порту.

Host "A" машина c WinXP, Host "B" сервер с WinNT.

Я так понял, что это через службу общего доступа к файлам. Тогда tcp протокол надо использовать для портов 135-139, 445, 1900.

Задача положить на сервак файлы при этом закрыть все лишние протоколы и порты.

Вот тут я вообще не понял теперь. Толи вам просто файлы класть надо, толи выполнять задание по плану.
Если честно, то я не понимаю в чем у вас проблема, если вы читали acl. Root дал все ссылки которые необходимы.

Похоже нужно искать гуру Cisco, сам я уже зарываться начинаю, а это всего начальный этап задачи.

Это самая простая задача. root'а и Lehisnoe - гуру.

[zaikini]

Перечитал тему несколько раз, хотел бы отметить следующее:
1. Отсутствует описание общей задачи. Поэтому все, что здесь сейчас советуется, потом окажется совершенно обратным. Человек и так начал уходить в сторону от своей задачи. Поэтому автор, опиши всю задачу, не выхватывай кусок из общего контекста.
2. Как неоднократно отмечалось, схема - это один из первых этапов решения вашей задачи. Нарисуйте и всем станет легче. Мне например тяжело воспринимать по тексту, хост А кладет файлы на хост Б. Нарисуйте, покажите стрелочками, что куда идет и откуда. Роутер ваш покажите.
3. После выполнения п2., детализируйте свою схему. Это в форуме можно написать, хост А передает файлы хосту Б, а как в реале это происходит? Устанавливается соединение по таким-то протоколам и таким-то портам. Указывайте их на схеме на всех сторонах. Надо понимать, что в промежутке между А и Б стоит роутер (если он стоит). Поэтому соединения и порты указываем на всех сегментах сети, от хоста А до хоста Б.
4. Есть сомнения в портах (не знаете или не уверены) в помощью приходит Wireshark. Запускаете его и выполняете те действия, которые вам необходиы: хост А выкладывает файлы на хосте Б. И снимаете дамп соединения. Записываете порты и вот он, нужный список портов, который наносится на схему.
5. После выполнения п.1 - п.4 решаем самостоятельно проблему теми средствами, которыми умеем пользоваться, например файерволл на хосте Б никто не отменял.
6. Пишем в форум, братцы решил вот свою задачу, описываем согласно п.1-п.4, сделал вот так, пишем п.5, но чувствую, что "криво" и есть красивое решение, но в использовании циски не силен, хелп!
7. Отвечаем на наводящие уточняющие вопросы, читаем, что скинули, пробуем сделать самостоятельно, не получается отписываем, в форум и так до победного.
8. Благодарим всех участников процесса.

P.S.

Похоже нужно искать гуру Cisco

Товарищ, ты и сам можешь стать гуру, соблюдай п.1 - п.8.

сам я уже зарываться начинаю, а это всего начальный этап задачи.

п.1 - п.5, возможно дольше, но других путей нет, если ты получишь готовый ответ, завтра ты его забудешь, и эта задача не станет ступенькой на верх.

[Ramirez]

За последний коммент уже спасибо
Вдохновился, отобрал у всех ноутбуки - пошел ставить эксперименты. Сниферр подтянул, сегодня буду строить модель взаимодействий.