URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20865
[ Назад ]

Исходное сообщение
"AСL+TFTP+INSPECT"
Отправлено tashmen , 12-Апр-10 14:57

Добрый день!
Имеем cisco 2801 вот вырезка из конфига:
ip inspect name FW tcp router-traffic
ip inspect name FW udp router-traffic
interface FastEthernet0/0
ip address 172.16.1.8 255.255.255.0
ip access-group WAN-IN in
ip inspect FW out
ip access-list extended WAN-IN
permit tcp any any established
permit icmp any any
permit tcp any any eq 22
permit tcp any any eq telnet
При этом нет возможности слить рабочий конфиг с маршрутизатора на удаленный tftp сервер.
copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?
.....
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)
В логах появляется следующее:
000097: Apr 12 15:33:32 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(59691) -> 172.16.1.8(64445), 1 packet
т.е. инспекция не работает :(
sh ip inspect all
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name FW
    udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
    tcp alert is on audit-trail is off timeout 3600
inspection of router local traffic is enabled
    tftp alert is on audit-trail is off timeout 30
Interface Configuration
Interface FastEthernet0/0
  Inbound inspection rule is not set
  Outgoing inspection rule is FW
    udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
    tcp alert is on audit-trail is off timeout 3600
  Inbound access list is WAN-IN
  Outgoing access list is not set
Half-open Sessions
Session 63334B78 (172.16.1.8:50593)=>(172.16.1.160:69) udp SIS_OPENING

Содержание

AСL+TFTP+INSPECT,Gbyte, 15:25 , 12-Апр-10
- AСL+TFTP+INSPECT,tashmen, 20:10 , 12-Апр-10
  - AСL+TFTP+INSPECT,j_vw, 20:53 , 12-Апр-10
    - AСL+TFTP+INSPECT,tashmen, 09:24 , 13-Апр-10
      - AСL+TFTP+INSPECT,tashmen, 10:12 , 13-Апр-10

Сообщения в этом обсуждении

"AСL+TFTP+INSPECT"
Отправлено Gbyte , 12-Апр-10 15:25

Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".
Как раз про инспектирование пишет.
Посмотри, может поможет...

"AСL+TFTP+INSPECT"
Отправлено tashmen , 12-Апр-10 20:10

>Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс
>молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".
>
>Как раз про инспектирование пишет.
>
>Посмотри, может поможет...
Я это уже читал, не помогло

"AСL+TFTP+INSPECT"
Отправлено j_vw , 12-Апр-10 20:53

debug ip inspect чего говорит?
IMHO, порты странные в ошибке...
Попробуйте другой TFTP сервер....

"AСL+TFTP+INSPECT"
Отправлено tashmen , 13-Апр-10 09:24

>
>debug ip inspect чего говорит?
>
>IMHO, порты странные в ошибке...
>Попробуйте другой TFTP сервер....
Пробовал разные tftp серверы (Tftpd, 3CDaemon) результат одинаковый.
S10-R1#debug ip inspect udp
S10-R1#debug ip inspect tftp
S10-R1#copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?
000079: Apr 13 10:21:50 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C86CB0 SIS_CLOSED UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21.
000080: Apr 13 10:21:53 UZB: FIREWALL UDP: sis 633CD1B8 pak 631201E0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000081: Apr 13 10:21:53 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49881) -> 172.16.1.8(57217), 1 packet .
000082: Apr 13 10:21:57 UZB: FIREWALL UDP: sis 633CD1B8 pak 63123318 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000083: Apr 13 10:21:57 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49882) -> 172.16.1.8(57217), 1 packet
000087: Apr 13 10:22:02 UZB: FIREWALL UDP: sis 633CD1B8 pak 63124830 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000088: Apr 13 10:22:02 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49883) -> 172.16.1.8(57217), 1 packet
000091: Apr 13 10:22:08 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C888D0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000092: Apr 13 10:22:08 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49884) -> 172.16.1.8(57217), 1 packet
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)
S10-R1#

"AСL+TFTP+INSPECT"
Отправлено tashmen , 13-Апр-10 10:12

А кас. странных номеров портов, то как я нашел в нете:
Many TFTP servers use random UDP port numbers for individual TFTP sessions in accordance with sections 3 and 4 of RFC 1350 (TFTP misuses UDP port numbers as transfer identifiers).
это не противоречит RFC.
и как я понял однозначного решения этой проблемы нет, только ACL-ом явно разрешить весь udp траффик на конкретный хост.
Решением была бы команда
ip inspect name FW tftp router-traffic но ее пока нет в природе :(