forum.opennet.ru

Составление сообщения

Исходное сообщение

"Не понятно откуда попадает ICMP трафик в ACL! Что не та не п..."
Отправлено zloy_admin, 08-Окт-06 14:45

Есть ACL на смотряшем в лок сеть инетерфесе
!
interface GigabitEthernet0/1.193
description test
encapsulation dot1Q 193
ip address 192.168.193.1 255.255.255.0
ip access-group traf-from-192-168-193-0 in
ip access-group traf-to-192-168-193-0 out
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
Есть сам ACL in
!
ip access-list extended traf-from-192-168-193-0
deny   ip host 192.168.193.17 any
deny   ip host 192.168.193.19 any
permit ip 192.168.193.0 0.0.0.255 any
deny   ip any any log-input
!
И ACL out
!
ip access-list extended traf-to-192-168-193-0
permit ip any 192.168.193.0 0.0.0.255
deny   ip any any log-input
!
Есть NAT
!
ip nat pool POOL-192-168-193-0 1.2.3.65 1.2.3.65 prefix-length 26
ip nat inside source list traf-from-192-168-193-0 pool POOL-192-168-193-0 overload
!
Есть интерфейс смотряций в инет
!
!
interface GigabitEthernet0/3.6
description GT
encapsulation dot1Q 6
ip address 5.5.5.5 255.255.255.240
ip access-group from_gt_in in
ip access-group to_gt_out out
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip inspect ftp_inet out
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
ACL на нем
!
ip access-list extended from_gt_in
deny   ip 0.0.0.0 0.255.255.255 any log
deny   ip host 255.255.255.255 any log
deny   ip 127.0.0.0 0.255.255.255 any log
deny   ip 224.0.0.0 15.255.255.255 any log
deny   ip 240.0.0.0 7.255.255.255 any log
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
deny   ip 192.0.2.0 0.0.0.255 any log
deny   ip 169.254.0.0 0.0.255.255 any log
deny   tcp any any eq 135
deny   udp any any eq 135
deny   tcp any any eq 137 log
deny   udp any any eq netbios-ns log
deny   tcp any any eq 138 log
deny   udp any any eq netbios-dgm log
deny   tcp any any eq 139 log
deny   udp any any eq netbios-ss log
permit ip any 1.2.232.0 0.0.0.3
permit ip any 1.2.232.16 0.0.0.15
permit ip any 1.2.232.32 0.0.0.7
permit ip any 1.2.232.40 0.0.0.7
permit ip any 1.2.232.64 0.0.0.63
permit ip any 5.5.5.5 0.0.0.15
deny   ip any any log-input
!
!
ip access-list extended to_gt_out
deny   ip 0.0.0.0 0.255.255.255 any log
deny   ip host 255.255.255.255 any log
deny   ip 127.0.0.0 0.255.255.255 any log
deny   ip 224.0.0.0 15.255.255.255 any log
deny   ip 240.0.0.0 7.255.255.255 any log
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
deny   ip 192.0.2.0 0.0.0.255 any log
deny   ip 169.254.0.0 0.0.255.255 any log
deny   tcp any any eq 135 log
deny   udp any any eq 135 log
deny   tcp any any eq 137 log
deny   udp any any eq netbios-ns log
deny   tcp any any eq 138 log
deny   udp any any eq netbios-dgm log
deny   tcp any any eq 139 log
deny   udp any any eq netbios-ss log
permit ip 1.2.3.0 0.0.0.3 any
permit ip 1.2.3.16 0.0.0.15 any
permit ip 1.2.3.32 0.0.0.7 any
permit ip 1.2.3.40 0.0.0.7 any
permit ip 1.2.3.64 0.0.0.63 any
permit ip 5.5.5.5 0.0.0.15 аny
deny   ip any any log-input
!
!
Вот лог!!!
Oct  8 16:39:07 172.16.1.1 2157647: 4447025: Oct  8 16:39:07: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.3.215 -> 89.106.103.242 (0/0), 1 packet
Oct  8 16:39:08 172.16.1.1 2157648: 4447026: Oct  8 16:39:08: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.50.157 -> 89.106.99.95 (0/0), 1 packet
Oct  8 16:39:10 172.16.1.1 2157649: 4447027: Oct  8 16:39:09: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.234.171 -> 89.106.32.2 (0/0), 1 packet
Oct  8 16:39:11 172.16.1.1 2157650: 4447028: Oct  8 16:39:10: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.233.211 -> 89.106.32.2 (0/0), 1 packet
Oct  8 16:39:12 172.16.1.1 2157651: 4447029: Oct  8 16:39:11: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.233.244 -> 89.106.25.219 (0/0), 1 packet
Внимание вопрос: Откуда береться этот ICMP трафик если я его не запускаю в роутер с наружи и не пропускаю на внутреннем интерфейсе!
PS.
IP адреса источников это моя AS, но у меня нет этих сетей физически.
Что не так не пойму может по дефолту стото проходит или генериться :)))

Исходное сообщение
"Не понятно откуда попадает ICMP трафик в ACL! Что не та не п..." Отправлено zloy_admin, 08-Окт-06 14:45
Есть ACL на смотряшем в лок сеть инетерфесе ! interface GigabitEthernet0/1.193 description test encapsulation dot1Q 193 ip address 192.168.193.1 255.255.255.0 ip access-group traf-from-192-168-193-0 in ip access-group traf-to-192-168-193-0 out ip nat inside ip virtual-reassembly no snmp trap link-status no cdp enable ! Есть сам ACL in ! ip access-list extended traf-from-192-168-193-0 deny ip host 192.168.193.17 any deny ip host 192.168.193.19 any permit ip 192.168.193.0 0.0.0.255 any deny ip any any log-input ! И ACL out ! ip access-list extended traf-to-192-168-193-0 permit ip any 192.168.193.0 0.0.0.255 deny ip any any log-input ! Есть NAT ! ip nat pool POOL-192-168-193-0 1.2.3.65 1.2.3.65 prefix-length 26 ip nat inside source list traf-from-192-168-193-0 pool POOL-192-168-193-0 overload ! Есть интерфейс смотряций в инет ! ! interface GigabitEthernet0/3.6 description GT encapsulation dot1Q 6 ip address 5.5.5.5 255.255.255.240 ip access-group from_gt_in in ip access-group to_gt_out out ip verify unicast reverse-path no ip redirects no ip proxy-arp ip flow ingress ip flow egress ip nat outside ip inspect ftp_inet out ip virtual-reassembly no snmp trap link-status no cdp enable ! ACL на нем ! ip access-list extended from_gt_in deny ip 0.0.0.0 0.255.255.255 any log deny ip host 255.255.255.255 any log deny ip 127.0.0.0 0.255.255.255 any log deny ip 224.0.0.0 15.255.255.255 any log deny ip 240.0.0.0 7.255.255.255 any log deny ip 10.0.0.0 0.255.255.255 any log deny ip 172.16.0.0 0.15.255.255 any log deny ip 192.168.0.0 0.0.255.255 any log deny ip 192.0.2.0 0.0.0.255 any log deny ip 169.254.0.0 0.0.255.255 any log deny tcp any any eq 135 deny udp any any eq 135 deny tcp any any eq 137 log deny udp any any eq netbios-ns log deny tcp any any eq 138 log deny udp any any eq netbios-dgm log deny tcp any any eq 139 log deny udp any any eq netbios-ss log permit ip any 1.2.232.0 0.0.0.3 permit ip any 1.2.232.16 0.0.0.15 permit ip any 1.2.232.32 0.0.0.7 permit ip any 1.2.232.40 0.0.0.7 permit ip any 1.2.232.64 0.0.0.63 permit ip any 5.5.5.5 0.0.0.15 deny ip any any log-input ! ! ip access-list extended to_gt_out deny ip 0.0.0.0 0.255.255.255 any log deny ip host 255.255.255.255 any log deny ip 127.0.0.0 0.255.255.255 any log deny ip 224.0.0.0 15.255.255.255 any log deny ip 240.0.0.0 7.255.255.255 any log deny ip 10.0.0.0 0.255.255.255 any log deny ip 172.16.0.0 0.15.255.255 any log deny ip 192.168.0.0 0.0.255.255 any log deny ip 192.0.2.0 0.0.0.255 any log deny ip 169.254.0.0 0.0.255.255 any log deny tcp any any eq 135 log deny udp any any eq 135 log deny tcp any any eq 137 log deny udp any any eq netbios-ns log deny tcp any any eq 138 log deny udp any any eq netbios-dgm log deny tcp any any eq 139 log deny udp any any eq netbios-ss log permit ip 1.2.3.0 0.0.0.3 any permit ip 1.2.3.16 0.0.0.15 any permit ip 1.2.3.32 0.0.0.7 any permit ip 1.2.3.40 0.0.0.7 any permit ip 1.2.3.64 0.0.0.63 any permit ip 5.5.5.5 0.0.0.15 аny deny ip any any log-input ! ! Вот лог!!! Oct 8 16:39:07 172.16.1.1 2157647: 4447025: Oct 8 16:39:07: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.3.215 -> 89.106.103.242 (0/0), 1 packet Oct 8 16:39:08 172.16.1.1 2157648: 4447026: Oct 8 16:39:08: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.50.157 -> 89.106.99.95 (0/0), 1 packet Oct 8 16:39:10 172.16.1.1 2157649: 4447027: Oct 8 16:39:09: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.234.171 -> 89.106.32.2 (0/0), 1 packet Oct 8 16:39:11 172.16.1.1 2157650: 4447028: Oct 8 16:39:10: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.233.211 -> 89.106.32.2 (0/0), 1 packet Oct 8 16:39:12 172.16.1.1 2157651: 4447029: Oct 8 16:39:11: %SEC-6-IPACCESSLOGDP: list traf-from-192-168-193-0 denied icmp 1.2.233.244 -> 89.106.25.219 (0/0), 1 packet Внимание вопрос: Откуда береться этот ICMP трафик если я его не запускаю в роутер с наружи и не пропускаю на внутреннем интерфейсе! PS. IP адреса источников это моя AS, но у меня нет этих сетей физически. Что не так не пойму может по дефолту стото проходит или генериться :)))

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру