The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"AСL+TFTP+INSPECT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"AСL+TFTP+INSPECT"  +/
Сообщение от tashmen (ok) on 12-Апр-10, 14:57 
Добрый день!
Имеем cisco 2801 вот вырезка из конфига:

ip inspect name FW tcp router-traffic
ip inspect name FW udp router-traffic

interface FastEthernet0/0
ip address 172.16.1.8 255.255.255.0
ip access-group WAN-IN in
ip inspect FW out

ip access-list extended WAN-IN
permit tcp any any established
permit icmp any any
permit tcp any any eq 22
permit tcp any any eq telnet

При этом нет возможности слить рабочий конфиг с маршрутизатора на удаленный tftp сервер.

copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?
.....
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)

В логах появляется следующее:
000097: Apr 12 15:33:32 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(59691) -> 172.16.1.8(64445), 1 packet

т.е. инспекция не работает :(

sh ip inspect all
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name FW
    udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
    tcp alert is on audit-trail is off timeout 3600
inspection of router local traffic is enabled
    tftp alert is on audit-trail is off timeout 30

Interface Configuration
Interface FastEthernet0/0
  Inbound inspection rule is not set
  Outgoing inspection rule is FW
    udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
    tcp alert is on audit-trail is off timeout 3600
  Inbound access list is WAN-IN
  Outgoing access list is not set

Half-open Sessions
Session 63334B78 (172.16.1.8:50593)=>(172.16.1.160:69) udp SIS_OPENING

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • AСL+TFTP+INSPECT, Gbyte, 15:25 , 12-Апр-10, (1)  
    • AСL+TFTP+INSPECT, tashmen, 20:10 , 12-Апр-10, (2)  
      • AСL+TFTP+INSPECT, j_vw, 20:53 , 12-Апр-10, (3)  
        • AСL+TFTP+INSPECT, tashmen, 09:24 , 13-Апр-10, (4)  
          • AСL+TFTP+INSPECT, tashmen, 10:12 , 13-Апр-10, (5)  

Сообщения по теме [Сортировка по времени | RSS]


1. "AСL+TFTP+INSPECT"  +/
Сообщение от Gbyte email(ok) on 12-Апр-10, 15:25 
Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".

Как раз про инспектирование пишет.

Посмотри, может поможет...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "AСL+TFTP+INSPECT"  +/
Сообщение от tashmen (ok) on 12-Апр-10, 20:10 
>Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс
>молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".
>
>Как раз про инспектирование пишет.
>
>Посмотри, может поможет...

Я это уже читал, не помогло

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "AСL+TFTP+INSPECT"  +/
Сообщение от j_vw on 12-Апр-10, 20:53 

debug ip inspect чего говорит?

IMHO, порты странные в ошибке...
Попробуйте другой TFTP сервер....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "AСL+TFTP+INSPECT"  +/
Сообщение от tashmen (ok) on 13-Апр-10, 09:24 
>
>debug ip inspect чего говорит?
>
>IMHO, порты странные в ошибке...
>Попробуйте другой TFTP сервер....

Пробовал разные tftp серверы (Tftpd, 3CDaemon) результат одинаковый.

S10-R1#debug ip inspect udp
S10-R1#debug ip inspect tftp
S10-R1#copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?

000079: Apr 13 10:21:50 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C86CB0 SIS_CLOSED UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21.
000080: Apr 13 10:21:53 UZB: FIREWALL UDP: sis 633CD1B8 pak 631201E0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000081: Apr 13 10:21:53 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49881) -> 172.16.1.8(57217), 1 packet .
000082: Apr 13 10:21:57 UZB: FIREWALL UDP: sis 633CD1B8 pak 63123318 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000083: Apr 13 10:21:57 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49882) -> 172.16.1.8(57217), 1 packet
000087: Apr 13 10:22:02 UZB: FIREWALL UDP: sis 633CD1B8 pak 63124830 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000088: Apr 13 10:22:02 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49883) -> 172.16.1.8(57217), 1 packet
000091: Apr 13 10:22:08 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C888D0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000092: Apr 13 10:22:08 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49884) -> 172.16.1.8(57217), 1 packet
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)
S10-R1#

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "AСL+TFTP+INSPECT"  +/
Сообщение от tashmen (ok) on 13-Апр-10, 10:12 
А кас. странных номеров портов, то как я нашел в нете:

Many TFTP servers use random UDP port numbers for individual TFTP sessions in accordance with sections 3 and 4 of RFC 1350 (TFTP misuses UDP port numbers as transfer identifiers).

это не противоречит RFC.

и как я понял однозначного решения этой проблемы нет, только ACL-ом явно разрешить весь udp траффик на конкретный хост.

Решением была бы команда
ip inspect name FW tftp router-traffic но ее пока нет в природе :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру