https://opennet.ru/openforum/vsluhforumID6/16606.html Подскажите пожалуйста !!!!! Как корректно настроить на cisce 28 серии ACL лист на входящий/исходящий трафик ? В обратном направлении (из LAN в WAN)вроде всё ясно: для разрешения только http запросов я разрешаю порт tcp 80 и udp 53 , а всё остальное закрываю (any deny) &#8211; так клиент из Lan сможет ходить ТОЛЬКО по http.<br>Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме http ? Проблема в том что при обратном ответе WEB сервера попытается установить обратное соединение с юзером по другому (динамическому) порту (80 порт занят инициализацией первого запроса клиента) а мне надо его разрешит а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL&#8230;. ?????<br><br>P.S. спасибо за ответ&#8230;<br>Если разбогатею то обязательно найду и отблагодарю!<br> https://opennet.ru/openforum/vsluhforumID6/16606.html#7 Fri, 27 Jun 2008 13:21:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;на на этот-же порт. <br>&gt;&gt;После окончания сессии порт освобождается. Принимает данные динамический порт с &gt;определенного адреса <br>&gt;&gt;и порта.<br>&gt;<br>&gt;Надо только проконтролировать что б этот порт был инициализирован клиентом и <br>&gt;разрешить проход трафика через него( через порт) от сервера к клиенту. <br>&gt;А затем закрыть порт чтоб никто и низа что не чё <br>&gt;плохое в него не с(р)(л)ал. <br>&gt;<br>&gt;Это вроде у КИСКИ называется ip inspect&#8230;&#8230;<br><br>Динамический порт на хосте закрывается автоматически по окончании сессии или по тайм-ауту<br>и ip inspect его никак не закроет<br>назначение инспекта блокировать атаки через и на маршрутизатор<br><br> https://opennet.ru/openforum/vsluhforumID6/16606.html#6 Fri, 27 Jun 2008 11:46:18 GMT Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно: <br>&gt;Я всегда считал что динамический порт открывает сессию и ждет ответ <br>&gt;на на этот-же порт. <br>&gt;После окончания сессии порт освобождается. Принимает данные динамический порт с &gt;определенного адреса <br>&gt;и порта.<br><br>Надо только проконтролировать что б этот порт был инициализирован клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал. <br><br>Это вроде у КИСКИ называется ip inspect&#8230;&#8230;<br> https://opennet.ru/openforum/vsluhforumID6/16606.html#5 Fri, 27 Jun 2008 11:33:31 GMT Я вроде бы близок к разгадке (добрые люди подсказали). Всё верно: <br>&gt;Я всегда считал что динамический порт открывает сессию и ждет ответ <br>&gt;на на этот-же порт. <br>&gt;После окончания сессии порт освобождается. Принимает данные динамический порт с &gt;определенного адреса <br>&gt;и порта.<br><br>Надо только проконтролировать что б этот порт был инициализирован клиентом и разрешить проход трафика через него( через порт) от сервера к клиенту. А затем закрыть порт чтоб никто и низа что не чё плохое в него не с(р)(л)ал. <br><br>Это вроде у КИСКИ называется ip inspect&#8230;&#8230;<br> https://opennet.ru/openforum/vsluhforumID6/16606.html#4 Fri, 27 Jun 2008 10:13:44 GMT &gt;[оверквотинг удален]<br>&gt;Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме <br>&gt;http ? Проблема в том что при обратном ответе WEB сервера <br>&gt;попытается установить обратное соединение с юзером по другому (динамическому) порту (80 <br>&gt;порт занят инициализацией первого запроса клиента) а мне надо его разрешит <br>&gt;а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера <br>&gt;и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL&#8230;. <br>&gt;????? <br>&gt;<br>&gt;P.S. спасибо за ответ&#8230; <br>&gt;Если разбогатею то обязательно найду и отблагодарю! <br><br>это называется CBAC батенька... правильно вам говорят ip inspect в помощь<br> https://opennet.ru/openforum/vsluhforumID6/16606.html#3 Fri, 27 Jun 2008 09:01:01 GMT &gt;попытается установить обратное соединение с юзером по другому (динамическому) порту (80<br>&gt;порт занят инициализацией первого запроса клиента)<br><br>Это какой-то очень хитрый вэб<br>имеющий софт на стороне клиента?<br><br>Я всегда считал что динамический порт открывает сессию и ждет ответ на на этот-же порт.<br>После окончания сессии порт освобождается. Принимает данные динамический порт с определенного адреса и порта.<br><br>Если я ошибаюсь поправте меня.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/16606.html#2 Thu, 26 Jun 2008 21:22:23 GMT &gt;[оверквотинг удален]<br>&gt;Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме <br>&gt;http ? Проблема в том что при обратном ответе WEB сервера <br>&gt;попытается установить обратное соединение с юзером по другому (динамическому) порту (80 <br>&gt;порт занят инициализацией первого запроса клиента) а мне надо его разрешит <br>&gt;а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера <br>&gt;и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL&#8230;. <br>&gt;????? <br>&gt;<br>&gt;P.S. спасибо за ответ&#8230; <br>&gt;Если разбогатею то обязательно найду и отблагодарю! <br><br>смотреть в сторону:<br>1. permit established <br>2. reflective acl<br>3. ip inspect - самый правильный вариант<br> https://opennet.ru/openforum/vsluhforumID6/16606.html#1 Thu, 26 Jun 2008 18:05:28 GMT &gt;[оверквотинг удален]<br>&gt;Как написать ACL чтоб ДО ЮЗЕРА не проходило нечто больше кроме <br>&gt;http ? Проблема в том что при обратном ответе WEB сервера <br>&gt;попытается установить обратное соединение с юзером по другому (динамическому) порту (80 <br>&gt;порт занят инициализацией первого запроса клиента) а мне надо его разрешит <br>&gt;а всё остальное не пропускать!!!! Как мне поймать ответ WEB сервера <br>&gt;и разрешить обмен ТОЛЬКО по http. Это вроде называется динамический ACL&#8230;. <br>&gt;????? <br>&gt;<br>&gt;P.S. спасибо за ответ&#8230; <br>&gt;Если разбогатею то обязательно найду и отблагодарю! <br><br>Вначале это:<br>http://www.ciscolab.ru/2006/09/18/page,2,access_list1.html<br>потом:<br>http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml<br><br>