The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Требуется помощь в настройке ZBF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"Требуется помощь в настройке ZBF"  +/
Сообщение от enesays (ok) on 07-Мрт-18, 06:16 
Доброго времени суток!
Подскажите пожалуйста, что делаю не так при использовании технологии Stateful Inspection ZBF

Вот конфиг роутера (Cisco ISR4331)

no ip bootp server
ip name-server 10.10.11.1
ip domain name contoso.com
subscriber templating
multilink bundle-name authenticated
license udi pid ISR4331/K9
!
vlan internal allocation policy ascending
no cdp run
!
class-map type inspect match-any UserServices
match protocol ssh
match protocol ftp
match protocol smtp
match protocol icmp
class-map type inspect match-any For-Inet-Access
match class-map UserServices
!
policy-map type inspect Internet-Policy
class type inspect For-Inet-Access
  inspect
class class-default
!
zone security Outside
zone security Inside
zone-pair security Inside_Outside source Inside destination Outside
service-policy type inspect Internet-Policy
!
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 10.10.11.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
zone-member security Outside
negotiation auto
no cdp enable
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description =INSIDE=
ip address 192.168.100.1 255.255.255.0
ip nat inside
zone-member security Inside
negotiation auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list NAT_ACL interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
no ip http server
no ip http secure-server
ip tftp source-interface GigabitEthernet0
ip dns server
ip route 0.0.0.0 0.0.0.0 10.10.11.1
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
ip access-list extended NAT_ACL
permit ip 192.168.100.0 0.0.0.255 any
!
ip access-list extended OUT-2-IN_ACL
deny   ip any any
!
end

При данной схеме все работает! внутренние хосты имеют доступ во внешние ресурсы.
При сканировании из вне (внешний интерфейс GigabitEthernet 0/0/0) открыты несколько портов, что очень меня беспокоит открытые порты.
вот такие результаты сканирования:
Nmap scan report for 10.10.11.2
Host is up (0.0013s latency).
Not shown: 944 closed ports, 53 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
23/tcp open  telnet
53/tcp open  domain

Nmap done: 1 IP address (1 host up) scanned in 93.95 seconds

Думаю, будет правильно если на внешний интерфейс повесить ACCESS-LIST (OUT-2-IN_ACL)
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 10.10.11.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
ip access-group OUT-2-IN_ACL in
zone-member security Outside
negotiation auto
no cdp enable
ip virtual-reassembly

Но, тогда внутренние хосты не имеют доступ к внешним ресурсам\сервисам, работоспособность теряется.
При сканировании результат вот такой:
Starting Nmap 7.01 ( https://nmap.org )
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.10 seconds

Как быть?
Буду очень признателен за помощь.
Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Требуется помощь в настройке ZBF"  +/
Сообщение от ShyLion (ok) on 07-Мрт-18, 07:41 
> PORT   STATE SERVICE
> 22/tcp open  ssh
> 23/tcp open  telnet
> 53/tcp open  domain

Это сервисы самого роутера. Сам роутер в зоне self.
Соответственно нужно сделать пары для зон Outside и self. Аксес листы - ретроградство.
В полиси для пар, где есть зона self нельзя использовать inspect, только pass или drop.
По умолчанию между зоной self и любой другой, если не задана пара, траффик пропускается.
Гайды читал вообще?

Но это еще не все.
на ip dns server повесь view-list


ip dns view-list DNS_LIST
view default 10
  restrict source access-group dns_clients
ip dns server view-group DNS_LIST
ip dns server
!
ip access-list standart dns_clients
permit 192.168.100.0 0.0.0.255
permit кого надо
!

На линиях vty повесь аксес-лист, и выключи нахрен telnet, он вечнодырявый:


ip access-list extended vty
permit 192.168.100.0 0.0.0.255
permit кого надо
!
line vty 0 4
access-class vty in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class vty in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Требуется помощь в настройке ZBF"  +/
Сообщение от enesays (ok) on 12-Мрт-18, 06:55 
>[оверквотинг удален]
>  transport output all
> line vty 5 15
>  access-class vty in vrf-also
>  exec-timeout 120 0
>  logging synchronous
>  history size 256
>  transport input ssh
>  transport output all
> !
>

Спасибо!
Вопрос решен.
Гайды читаю время от времени... только, во многих статейках не описывают self-зону
Вопрос к Вам! Как знатоку!
Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах?
с ISR роутерами опыта совсем хреновый!
Спасибо тебе!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Требуется помощь в настройке ZBF"  +/
Сообщение от _ (??) on 12-Мрт-18, 09:02 
>>[оверквотинг удален]
> Спасибо!
> Вопрос решен.
> Гайды читаю время от времени... только, во многих статейках не описывают self-зону
> Вопрос к Вам! Как знатоку!
> Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах?

Потому, что встроенные порты на ISR являются L3.
Поставьте модуль NIM-ES2-4 и получите L2 порты с возможностью организовывать interface VLAN.

> с ISR роутерами опыта совсем хреновый!

Найдите в интренете книгу "CCNA Routing an switching 200-215 Official Cert Guide Library" там разжевано отличие портов на роутере и на свитче.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor