forum.opennet.ru - "ACL не работает" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ACL не работает"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ACL не работает"	+/–
Сообщение от star117 (ok) on 31-Мрт-14, 06:15
Доброго времени суток! Для Cisco3825 решил сменить порт SSH #>conf t ip ssh port 3333 rotary 1 line vty 0 15 rotary 1 Тут вопросов нет, работает. Теперь хочу закрыть tcp порт 22. #>ip access-list extended port22dis deny tcp any host x.x.x.x eq 22 permit ip any any Применяю на нужном порту роутера: int gi0/0.1 ip access-group port22dis in Вот тут оказывается, что порт 22 не закрыт. С удалённой машины: nmap -sT x.x.x.x Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x) Host is up (0.0043s latency). Not shown: 998 closed ports PORT STATE SERVICE 22/tcp filtered ssh Подскажите, где я делаю ошибку? Или может быть есть тонкость какая-то?
Ответить \| Правка \| Cообщить модератору

Оглавление

ACL не работает, crash, 06:52 , 31-Мрт-14, (1)
ACL не работает, elk_killa, 07:51 , 31-Мрт-14, (2)

ACL не работает, star117, 10:53 , 31-Мрт-14, (3)

ACL не работает, elk_killa, 11:32 , 31-Мрт-14, (4)

ACL не работает, star117, 13:07 , 31-Мрт-14, (5)

ACL не работает, elk_killa, 13:46 , 31-Мрт-14, (6)

ACL не работает, star117, 05:51 , 01-Апр-14, (7)

ACL не работает, GolDi, 09:15 , 01-Апр-14, (8)

ACL не работает, elk_killa, 09:32 , 01-Апр-14, (9)

ACL не работает, star117, 11:07 , 01-Апр-14, (12)

ACL не работает, elk_killa, 09:33 , 01-Апр-14, (10)

ACL не работает, star117, 11:05 , 01-Апр-14, (11)

ACL не работает, star117, 11:14 , 01-Апр-14, (13)

ACL не работает, Scrooge, 18:34 , 19-Мрт-15, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "ACL не работает" +/–

Сообщение от crash (ok) on 31-Мрт-14, 06:52

> Вот тут оказывается, что порт 22 не закрыт.
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT     STATE    SERVICE
> 22/tcp   filtered ssh
Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым

Зачем закрывать порт, на котором ничего не слушается?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ACL не работает" +/–

Сообщение от elk_killa (ok) on 31-Мрт-14, 07:51

>[оверквотинг удален]
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT     STATE    SERVICE
> 22/tcp   filtered ssh
> Подскажите, где я делаю ошибку?
> Или может быть есть тонкость какая-то?
а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у icmp type 3? посмотрите траффик

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ACL не работает" +/–

Сообщение от star117 (ok) on 31-Мрт-14, 10:53

>[оверквотинг удален]
>> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
>> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
>> Host is up (0.0043s latency).
>> Not shown: 998 closed ports
>> PORT     STATE    SERVICE
>> 22/tcp   filtered ssh
>> Подскажите, где я делаю ошибку?
>> Или может быть есть тонкость какая-то?
> а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у
> icmp type 3? посмотрите траффик
Если я попробую приконнектиться по ssh на 22 порт к роутеру - соединение проходит. То есть порт однозначно открыт не только nmap'у.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ACL не работает" +/–

Сообщение от elk_killa (ok) on 31-Мрт-14, 11:32

> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
> соединение проходит. То есть порт однозначно открыт не только nmap'у.
мб соединение проходит не со стороны интерфейса gi0/0.1?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ACL не работает" +/–

Сообщение от star117 (ok) on 31-Мрт-14, 13:07

>> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
>> соединение проходит. То есть порт однозначно открыт не только nmap'у.
> мб соединение проходит не со стороны интерфейса gi0/0.1?
Точно на нём.
Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на них access-group - acl запрещающий коннект на 22 порт для всех 3-х. И коннектица с удалённой машины могу на все три IP. :(

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ACL не работает" +/–

Сообщение от elk_killa (ok) on 31-Мрт-14, 13:46

> Точно на нём.
> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
> них access-group - acl запрещающий коннект на 22 порт для всех
> 3-х. И коннектица с удалённой машины могу на все три IP.
> :(
а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ACL не работает" +/–

Сообщение от star117 (ok) on 01-Апр-14, 05:51

>> Точно на нём.
>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>> них access-group - acl запрещающий коннект на 22 порт для всех
>> 3-х. И коннектица с удалённой машины могу на все три IP.
>> :(
> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
Сейчас ACL выглядит вот так:
#>ip access-list extended port22dis
deny   tcp any host x.x.x.x eq 22
deny   tcp any host y.y.y.y eq 22
deny   tcp any host z.z.z.z eq 22
permit ip any any
Я сам не могу понять почему это не работает....

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ACL не работает" +/–

Сообщение от GolDi (??) on 01-Апр-14, 09:15

>>> Точно на нём.
>>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>>> них access-group - acl запрещающий коннект на 22 порт для всех
>>> 3-х. И коннектица с удалённой машины могу на все три IP.
>>> :(
>> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis
по моему extended на tty  нельзя применять
> deny   tcp any host x.x.x.x eq 22
> deny   tcp any host y.y.y.y eq 22
> deny   tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ACL не работает" +/–

Сообщение от elk_killa (ok) on 01-Апр-14, 09:32

> по моему extended на tty  нельзя применять
>> deny   tcp any host x.x.x.x eq 22
>> deny   tcp any host y.y.y.y eq 22
>> deny   tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....
в первом сообщении ТС его на интерфейсе вешает

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "ACL не работает" +/–

Сообщение от star117 (ok) on 01-Апр-14, 11:07

>> по моему extended на tty  нельзя применять
>>> deny   tcp any host x.x.x.x eq 22
>>> deny   tcp any host y.y.y.y eq 22
>>> deny   tcp any host z.z.z.z eq 22
>>> permit ip any any
>>> Я сам не могу понять почему это не работает....
> в первом сообщении ТС его на интерфейсе вешает
Этот acl теперь указан как access-group на интерфейсах к каждому провайдеру.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "ACL не работает" +/–

Сообщение от elk_killa (ok) on 01-Апр-14, 09:33

а что за железка/софт?
> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis
> deny   tcp any host x.x.x.x eq 22
> deny   tcp any host y.y.y.y eq 22
> deny   tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "ACL не работает" +/–

Сообщение от star117 (ok) on 01-Апр-14, 11:05

> а что за железка/софт?
>> Сейчас ACL выглядит вот так:
>> #>ip access-list extended port22dis
>> deny   tcp any host x.x.x.x eq 22
>> deny   tcp any host y.y.y.y eq 22
>> deny   tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....
Cisco 3825 ISR

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "ACL не работает" +/–

Сообщение от star117 (ok) on 01-Апр-14, 11:14

Чудеса!
Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить?
Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview).
Заранее спасибо.
ТС.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "ACL не работает" +/–

Сообщение от Scrooge (ok) on 19-Мрт-15, 18:34

> Чудеса!
> Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по
> ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
> Остаётся лишь один вопрос всем кто это читает: у вас такое было?
> Если да, то нашли ли вы причину и смогли ли исправить?
> Может это важно: провайдеров у меня 3, нагрузки на момент вопроса -
> никакой, настроено BGP-соседство пока с одним провайдером (fullview).
> Заранее спасибо.
> ТС.
Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню).
Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ACL не работает"	+/–
Сообщение от crash (ok) on 31-Мрт-14, 06:52
> Вот тут оказывается, что порт 22 не закрыт. > С удалённой машины: > nmap -sT x.x.x.x > Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC > Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x) > Host is up (0.0043s latency). > Not shown: 998 closed ports > PORT STATE SERVICE > 22/tcp filtered ssh Filtered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым Зачем закрывать порт, на котором ничего не слушается?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "ACL не работает"	+/–
Сообщение от elk_killa (ok) on 31-Мрт-14, 07:51
>[оверквотинг удален] > С удалённой машины: > nmap -sT x.x.x.x > Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC > Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x) > Host is up (0.0043s latency). > Not shown: 998 closed ports > PORT STATE SERVICE > 22/tcp filtered ssh > Подскажите, где я делаю ошибку? > Или может быть есть тонкость какая-то? а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у icmp type 3? посмотрите траффик
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 31-Мрт-14, 10:53
	>[оверквотинг удален] >> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC >> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x) >> Host is up (0.0043s latency). >> Not shown: 998 closed ports >> PORT STATE SERVICE >> 22/tcp filtered ssh >> Подскажите, где я делаю ошибку? >> Или может быть есть тонкость какая-то? > а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у > icmp type 3? посмотрите траффик Если я попробую приконнектиться по ssh на 22 порт к роутеру - соединение проходит. То есть порт однозначно открыт не только nmap'у.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ACL не работает"	+/–
	Сообщение от elk_killa (ok) on 31-Мрт-14, 11:32
	> Если я попробую приконнектиться по ssh на 22 порт к роутеру - > соединение проходит. То есть порт однозначно открыт не только nmap'у. мб соединение проходит не со стороны интерфейса gi0/0.1?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 31-Мрт-14, 13:07
	>> Если я попробую приконнектиться по ssh на 22 порт к роутеру - >> соединение проходит. То есть порт однозначно открыт не только nmap'у. > мб соединение проходит не со стороны интерфейса gi0/0.1? Точно на нём. Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на них access-group - acl запрещающий коннект на 22 порт для всех 3-х. И коннектица с удалённой машины могу на все три IP. :(
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ACL не работает"	+/–
	Сообщение от elk_killa (ok) on 31-Мрт-14, 13:46
	> Точно на нём. > Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на > них access-group - acl запрещающий коннект на 22 порт для всех > 3-х. И коннектица с удалённой машины могу на все три IP. > :( а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 01-Апр-14, 05:51
	>> Точно на нём. >> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на >> них access-group - acl запрещающий коннект на 22 порт для всех >> 3-х. И коннектица с удалённой машины могу на все три IP. >> :( > а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано Сейчас ACL выглядит вот так: #>ip access-list extended port22dis deny tcp any host x.x.x.x eq 22 deny tcp any host y.y.y.y eq 22 deny tcp any host z.z.z.z eq 22 permit ip any any Я сам не могу понять почему это не работает....
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ACL не работает"	+/–
	Сообщение от GolDi (??) on 01-Апр-14, 09:15
	>>> Точно на нём. >>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на >>> них access-group - acl запрещающий коннект на 22 порт для всех >>> 3-х. И коннектица с удалённой машины могу на все три IP. >>> :( >> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано > Сейчас ACL выглядит вот так: > #>ip access-list extended port22dis по моему extended на tty нельзя применять > deny tcp any host x.x.x.x eq 22 > deny tcp any host y.y.y.y eq 22 > deny tcp any host z.z.z.z eq 22 > permit ip any any > Я сам не могу понять почему это не работает....
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "ACL не работает"	+/–
	Сообщение от elk_killa (ok) on 01-Апр-14, 09:32
	> по моему extended на tty нельзя применять >> deny tcp any host x.x.x.x eq 22 >> deny tcp any host y.y.y.y eq 22 >> deny tcp any host z.z.z.z eq 22 >> permit ip any any >> Я сам не могу понять почему это не работает.... в первом сообщении ТС его на интерфейсе вешает
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 01-Апр-14, 11:07
	>> по моему extended на tty нельзя применять >>> deny tcp any host x.x.x.x eq 22 >>> deny tcp any host y.y.y.y eq 22 >>> deny tcp any host z.z.z.z eq 22 >>> permit ip any any >>> Я сам не могу понять почему это не работает.... > в первом сообщении ТС его на интерфейсе вешает Этот acl теперь указан как access-group на интерфейсах к каждому провайдеру.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	10. "ACL не работает"	+/–
	Сообщение от elk_killa (ok) on 01-Апр-14, 09:33
	а что за железка/софт? > Сейчас ACL выглядит вот так: > #>ip access-list extended port22dis > deny tcp any host x.x.x.x eq 22 > deny tcp any host y.y.y.y eq 22 > deny tcp any host z.z.z.z eq 22 > permit ip any any > Я сам не могу понять почему это не работает....
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	11. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 01-Апр-14, 11:05
	> а что за железка/софт? >> Сейчас ACL выглядит вот так: >> #>ip access-list extended port22dis >> deny tcp any host x.x.x.x eq 22 >> deny tcp any host y.y.y.y eq 22 >> deny tcp any host z.z.z.z eq 22 >> permit ip any any >> Я сам не могу понять почему это не работает.... Cisco 3825 ISR
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "ACL не работает"	+/–
	Сообщение от star117 (ok) on 01-Апр-14, 11:14
	Чудеса! Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку. Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить? Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview). Заранее спасибо. ТС.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	14. "ACL не работает"	+/–
	Сообщение от Scrooge (ok) on 19-Мрт-15, 18:34
	> Чудеса! > Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по > ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку. > Остаётся лишь один вопрос всем кто это читает: у вас такое было? > Если да, то нашли ли вы причину и смогли ли исправить? > Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - > никакой, настроено BGP-соседство пока с одним провайдером (fullview). > Заранее спасибо. > ТС. Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню). Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору