форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблемы с файрволлом на Cisco"
Сообщение от Ломака Владимир on 22-Сен-05, 13:41  (MSK)
Здравствуйте! Есть маршрутизатор Cisco 1760. IOS - c1700-k9o3sy7-mz.123-11.T Включен NAT, настроены ACL. Решил задействовать все возможности IOS по защите сети. На первом этапе включил CBAC. И поимел тормоза. Включенный на время DEBUG показал что часто дропятся пакеты приходящие как ответы от веб-серверов, например: CBAC* sis 82A1A124 L4 inspect result: DROP packet 827296A4 (217.16.31.122:80) (192.168.171.222:1343) bytes 0 ErrStr = Out-Of-Order Segment tcp CBAC* sis 82A16CD4 L4 inspect result: DROP packet 827296A4 (62.118.249.24:80) (192.168.171.222:1358) bytes 0 ErrStr = Out-Of-Order Segment tcp %FW-6-DROP_PKT: Dropping tcp pkt 62.118.249.24:80 => 192.168.171.222:1358 Адрес 192.168.171.222 - это внутренний адрес прокси сервера. Сообщение Out-Of-Order - это я так понимаю, что фрагмент пришел не в порядке очереди. Так это ж обычная ситуация в TCP/IP сетях. И еще, есть такие сообщения: *Sep 22 11:20:41.681: CBAC sis 82A16CD4 L4 inspect result: DROP packet 83039344 (xxx.xxx.xxx.xx:2181) (195.144.200.55:119) bytes 0 ErrStr = Stray Segment tcp *Sep 22 11:20:41.757: CBAC sis 82A21234 L4 inspect result: DROP packet 82E89B8C (xxx.xxx.xxx.xx:2182) (195.144.200.55:119) bytes 0 ErrStr = Stray Segment *Sep 22 11:21:41.976: CBAC sis 82A1B204 L4 inspect result: DROP packet 82F4BE04 (xxx.xxx.xxx.xx:2184) (195.144.200.55:119) bytes 0 ErrStr = Stray Segment tcp *Sep 22 11:21:41.980: %FW-6-DROP_PKT: Dropping tcp pkt xxx.xxx.xxx.xx:2184 => 195.144.200.55:119 Здесь xxx.xxx.xxx.xx - это внешний IP этой Cisco. Поиск в инете подсказал, что такое сообщение появляется в пяти случаях, два из которых совпадает с нашим - адрес и порт удаленного хоста в нескольких соединениях совпадают в течение некоторого интервала времени TIME_WAIT, которое по спецификации RFC - 4 минуты. Здесь же - несколько мс. Вообщем, подскажите, куда копать. Config пока не выкладываю.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проблемы с файрволлом на Cisco"
Сообщение от kaa (??) on 22-Сен-05, 14:05  (MSK)
>Вообщем, подскажите, куда копать. Config пока не выкладываю. Весь  не ложите, покажите всё про cbac и его акцесслисты.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Проблемы с файрволлом на Cisco"
	Сообщение от Ломака Владимир on 22-Сен-05, 14:32  (MSK)
	>Весь  не ложите, покажите всё про cbac и его акцесслисты. ! ip inspect log drop-pkt ip inspect name inspect_rules tcp alert on ip inspect name inspect_rules udp alert on ip inspect name inspect_rules icmp alert on ip inspect name inspect_rules smtp alert on !следующие  параметры я добавил уже после получения "тормозов", но ситуация сильно не изменилась ip inspect max-incomplete high 8000 ip inspect max-incomplete low 7900 ip inspect one-minute high 8000 ip inspect one-minute low 7900 ip inspect dns-timeout 20 ip inspect tcp max-incomplete host 250 block-time 1 ip inspect name inspect_rules fragment maximum 10000 timeout 1000 ! interface FastEthernet0/0 description Public Interface$ETH-WAN$ ip address 195.144.200.5 255.255.255.252 ip access-group Access_From_Internet in ip nat outside ip inspect inspect_rules out ! interface Vlan1 ip address 192.168.171.201 255.255.255.0 ip access-group Access_To_Internet ip nat inside ip inspect inspect_rules in ! ip access-list extended Access_From_Internet deny   ip 10.0.0.0 0.255.255.255 any log deny   ip 172.16.0.0 0.15.255.255 any log deny   ip 192.168.0.0 0.0.255.255 any log deny   ip 192.168.171.0 0.0.0.255 any log deny   ip 127.0.0.0 0.255.255.255 any log permit tcp host 181.28.89.250 host 195.144.200.5 eq 22 permit tcp host 195.144.200.250 host 195.144.200.5 eq 22 permit tcp host 181.28.89.250 host 195.144.200.5 eq www permit tcp host 181.28.89.250 host 195.144.200.5 eq 1521 permit tcp 195.161.102.16 0.0.0.7 host 195.144.201.4 eq 3389 permit ip host 195.144.192.145 host 195.144.200.5 deny   ip host 255.255.255.255 any log deny   ip host 0.0.0.0 any log deny   ip any any log ! ip access-list extended Access_To_Internet permit ip host 192.168.171.77 any permit ip host 192.168.171.163 any permit ip host 192.168.171.210 any permit ip host 192.168.171.222 any permit tcp 192.168.171.0 0.0.0.255 host 195.144.192.145 permit icmp 192.168.171.0 0.0.0.255 host 195.144.192.145 deny   ip any any log
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Проблемы с файрволлом на Cisco"
	Сообщение от kaa (??) on 22-Сен-05, 15:03  (MSK)
	>>Весь  не ложите, покажите всё про cbac и его акцесслисты. Это не всё, можно ? sh ip inspect config sh ip inspect interfaces
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Проблемы с файрволлом на Cisco"
	Сообщение от Ломака Владимир on 22-Сен-05, 15:19  (MSK)
	>>>Весь  не ложите, покажите всё про cbac и его акцесслисты. >Это не всё, можно ? >sh ip inspect config >sh ip inspect interfaces Router-1760#sh ip inspect config Dropped packet logging is enabled Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [7900:8000] connections max-incomplete sessions thresholds are [7900:8000] max-incomplete tcp connections per host is 250. Block-time 1 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 20 sec Inspection Rule Configuration Inspection name inspect_rules     tcp alert is on audit-trail is off timeout 3600     udp alert is on audit-trail is off timeout 30     icmp alert is on audit-trail is off timeout 10     smtp max-data 20000000 alert is on audit-trail is off timeout 3600     fragment Maximum 10000  In Use 0 alert is on audit-trail is off timeout 1000 Router-1760#sh ip inspect interfaces Interface Configuration Interface FastEthernet0/0   Inbound inspection rule is not set   Outgoing inspection rule is inspect_rules     tcp alert is on audit-trail is off timeout 3600     udp alert is on audit-trail is off timeout 30     icmp alert is on audit-trail is off timeout 10     smtp max-data 20000000 alert is on audit-trail is off timeout 3600     fragment Maximum 10000  In Use 0 alert is on audit-trail is off timeout 1000   Inbound access list is Access_From_Internet   Outgoing access list is not set Interface Vlan1   Inbound inspection rule is inspect_rules     tcp alert is on audit-trail is off timeout 3600     udp alert is on audit-trail is off timeout 30     icmp alert is on audit-trail is off timeout 10     smtp max-data 20000000 alert is on audit-trail is off timeout 3600     fragment Maximum 10000  In Use 0 alert is on audit-trail is off timeout 1000   Outgoing inspection rule is not set   Inbound access list is Access_To_Internet   Outgoing access list is Access_To_ETC-AUTO_LAN !Да, забыл вставить еще один ACL (глянул предыдущий конфиг) interface Vlan1 ip address 192.168.171.201 255.255.255.0 ip access-group Access_To_Internet in ip access-group Access_To_ETC-AUTO_LAN out ip nat inside ip inspect inspect_rules in ip access-list extended Access_To_ETC-AUTO_LAN deny   tcp any any eq 135 log deny   udp any any eq 135 log permit ip any any
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Проблемы с файрволлом на Cisco"
	Сообщение от kaa (??) on 22-Сен-05, 16:01  (MSK)
	>interface FastEthernet0/0 > description Public Interface$ETH-WAN$ > ip address 195.144.200.5 255.255.255.252 > ip access-group Access_From_Internet in > ip nat outside > ip inspect inspect_rules out >! >interface Vlan1 > ip address 192.168.171.201 255.255.255.0 > ip access-group Access_To_Internet > ip nat inside > ip inspect inspect_rules in >! Владимир, почему у вас на f0/0 инспектруль out ? меняйте на ин.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Проблемы с файрволлом на Cisco"
	Сообщение от Ломака Владимир on 23-Сен-05, 07:51  (MSK)
	>Владимир, >почему у вас на f0/0 инспектруль out ? >меняйте на ин. Да я вообще-то делал как написано в Cisco IOS Security Configuration Guide в разделе Configuring Context-Based Access Control (Applying the Inspection Rule to an Interface): If you are configuring CBAC on an external interface, apply the rule to outbound traffic. If you are configuring CBAC on an internal interface, apply the rule to inbound traffic. Хотя, в примере Configuring the Cisco IOS Firewall for ICSA было показано именно так, как Вы говорите. Я подумал, что опечатка. Ладно, сейчас попробую поменять.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Проблемы с файрволлом на Cisco"
	Сообщение от kaa (??) on 23-Сен-05, 08:13  (MSK)
	>Да я вообще-то делал как написано в Cisco IOS Security Configuration Guide >в разделе Configuring Context-Based Access Control (Applying the Inspection Rule to >an Interface): >If you are configuring CBAC on an external interface, apply the rule >to outbound traffic. >If you are configuring CBAC on an internal interface, apply the rule >to inbound traffic. Тут имеется ввиду условие "или или", а у вас на обоих фейсах cbac задействован и получается два разных рулеса в одном направлении.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Проблемы с файрволлом на Cisco"
	Сообщение от Ломака Владимир on 23-Сен-05, 08:36  (MSK)
	>Тут имеется ввиду условие "или или", а у вас на обоих фейсах >cbac задействован и получается два разных рулеса в одном направлении. Ну в принципе я могу с внутреннего интерфейса убрать CBAC. Тогда на внешнем интерфейсе какое правильное направление CBAC ставить - out ? Я ранее так и сделал. На внутренний позже добавил. И все же как быть с дропаньем вроде бы правильных пакетов? Вчера вечером снес CBAC и настроил все заново. Т.е. конфиг остался тем же, только заново залит в роутер. Вроде бы тормозов поубавилось заметно. Но в логах все равно полно таких сообщений, о которых я писал. Может и не в этом дело было...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Проблемы с файрволлом на Cisco"
	Сообщение от kaa (??) on 23-Сен-05, 08:46  (MSK)
	>>Тут имеется ввиду условие "или или", а у вас на обоих фейсах >>cbac задействован и получается два разных рулеса в одном направлении. > >Ну в принципе я могу с внутреннего интерфейса убрать CBAC. Тогда на >внешнем интерфейсе какое правильное направление CBAC ставить - out ? Я >ранее так и сделал. На внутренний позже добавил. >И все же как быть с дропаньем вроде бы правильных пакетов? Вчера >вечером снес CBAC и настроил все заново. Т.е. конфиг остался тем >же, только заново залит в роутер. Вроде бы тормозов поубавилось заметно. >Но в логах все равно полно таких сообщений, о которых я >писал. Может и не в этом дело было... Наиборот, оставьте только на внутреннем ин, а на внешнем только acl с правилом "всё запрещено, только можно на этот и этот сервер" Потом если всё хорошо, ставьте если нужно...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Проблемы с файрволлом на Cisco"
	Сообщение от Ломака Владимир on 23-Сен-05, 09:10  (MSK)
	>Наиборот, оставьте только на внутреннем ин, >а на внешнем только acl с правилом "всё запрещено, только можно на >этот и этот сервер" >Потом если всё хорошо, ставьте если нужно... Ладно так и сделаю, спасибо за помощь.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.