Windows Messenger i Access List Problem

[Machiavelli]

Hocu da zabranim na Cisco ruteru portove za file transfer za Windows Messenger u oba smera, s tim da samo jedna adresa treba da bude slobodna za file transfer. U 2 extended AC Liste sam zabranio komunikaciju na TCP portovima od 6891-6900 ,prikacio ih na serijski interfejs (inbound i outbound) i to radi OK. Niko ne moze da salje ili da prima fajlove. Kada sam dodao statement, u obe AC Liste , allow za odredjenu IP adresu, za tu adresu se i dalje primenjuje deny (sto se vidi i po logu) iako je na vrhu AC Liste.

Da li je mozda potrebno zatvoriti/otvoriti i UDP portove ?
Bilo kakva ideja, bilo ko?

 

[nickname]

MSN file transfer ide samo preko TCP portova, konkretno kod mene su samo oni otvoreni, (ne i UDP port range) i to radi. E sad, jedino shto mi pada na pamet je Ciscova preporuka da se access lista otkachi sa interfejsa, edituje i onda ponovo zakachi nazad izmenjena. Probaj tako. Ako se setim josh nechega, vichem...

Poz

 

[+-]

Nije mi bas najjasnije sta si pisao, ali bi trebalo da ti izgleda otprilike ovako:

access-li 101 permit tcp host x.x.x.x any range 6891 6900 - ovo je samo za hosta x.x.x.x -takodje, ako hoces samo jednu file transfer sesiju po hostu onda samo 6891
access-li 101 deny ip any any

access-list 102 permit tcp any host x.x.x.x range 6891 6900 - ovo ti je da se i obratno moze inicirati
access-list 102 permit tcp any range 6891 6900 host x.x.x.x established
access-li 102 deny ip any any

interface x
description inside
ip access-group 101 in

interface y
description outside
ip access-group 102 in



Takodje, messenger ima problema sa NAT-om!

Kako bilo, ako imas firewall IOS ovo ce ti mnogo jednostavnije i bolje (da ne spominjem sigurnije) biti da napravis pomocu ip inspect-a! Access liste su samo paket filteri tako da...

pozdrav

+-


P.S.

E da, jos jedan nacin....napravis dvije access liste - jednu sa hosta kome hoces da dozvolis mess (ovo si pretpostavljam ti ) prema any, a drugu za ostale (na vrhu prvo sebe iskljucis)

Zatim napravis class mapu sa klauzulom match-all i matchujes 1. protocol msn messenger (koliko se ja sjecam postoji PDLM za NBAR za ovo), a zatim drugu access listu. Napravis i drugu class mapu s tom razlikom da ovaj put matchujes prvu access listu (svoju)....
Nakon ovoga napravis policy mapu u kojoj za prvu class mapu definises akciju drop a za drugu forward (uostalom ova druga ti na kraju krajeva i ne treba)....zatim na internom interfejsu primjenis policy mapu : service-policy input ime_policy_mape


:smoke:

 

[Machiavelli]

Kako sam ja uradio:

access-list 111 permit tcp any host 192.168.1.1 range 6891-6900 ! Ka sebi pustam MSN transfer
access-list 111 deny tcp any any range 6891-6900 ! Ostalima zabranjujem MSN transfer
access-list 111 permit ip any any ! Ostalo dozvoljavam

access-list 112 permit tcp host 192.168.1.1 any range 6891-6900 ! Sebi pustam MSN transfer
access-list 112 deny tcp any any range 6891-6900 ! Ostalima zabranjujem MSN transfer
access-list 112 permit ip any any ! Ostalo dozvoljavam

router#sh run

interface Serial 0.1
ip access-group 111 in

interface Serial 0.1
ip access-group 112 out

Na uredjaju postoji i static NAT, tako da se moja 192.168.1.1 adresa staticki mapira na javnu x.x.x.x adresu.
Svi ostali idu preko druge javne x.x.x.y adrese (dynamic NAT). Ethernet interfejs (NAT indside) ima jednu
privatnu adresu iz 192.168.1.0 opsega, a serijski (NAT ouside) jednu javnu adresu.

Probao sam i da ove AC Liste primenim, umesto na serijski, na ethernet interfejs i nista nisam postigao,
zatim da ih ostavim na serijskom ali da umesto 192.168.1.1 adrese bude javna adresa (iz static NAT za moju
privatnu adresu) i takodje nista ne dobijam.U "sh access-list 111" u drugoj liniji je logovan deny, kao i za
ACL 112. Jedino sto nisam probao je da na svom adapteru stavim javnu IP adresu, i izbacim sebe iz static
NAT-a, i modifikujem ACL tako da umesto 192.168.1.1 s6tavim javan IP. Pretpostavljam da bi tako mogao da
vidim da li je problem u tome sto messenger ne radi kroz NAT.

 

[+-]

Ne kontam te bas potpuno. Evo ovako bi trebalo da izgleda:

interni host - 192.168.1.1 - mapiran recimo na 5.5.5.5

ip nat inside source static 192.168.1.1 5.5.5.5

E sad:

access-li 101 remark inbound traffic
access-li 101 permit tcp any host 5.5.5.5 range 6891 6900 - ovo je da dozvolis internetu da inicira transfer
access-li 102 permit tcp any range 6891 6900 host 5.5.5.5 established - ovo je da dozvolis povratak paketa za konekciju koju je inicirao tvoj host

access-li 101 deny tcp any any range 6891 6900


access-li 102 remark outbound traffic
access-li 102 permit tcp host 192.168.1.1 any range 6891 6900
access-li 102 permit tcp host 192.168.1.1 range 6891 6900 any established
access-li 12 deny tcp any any range 6891 6900


listu 101 stavi kao in listu na vanjski -serijski interface, a listu 1002 kao in listu na inerni ethernet interfejs

Ovo sa established komandom se u tvom slucaju moze i zaobici ako koristis onaj permit ip any any kao u tvom primjeru....bitno je samo da ruter moze nazad da vrati pakete hostu koji je inicirao transfer!

P.S. KOliko se ja sjecam problem sa NAT-om postoji samo kod Windows NAT servisa koji za takvu vrstu konekcije ne zna da napravi tabelu.


Kako bilo, opet ti preporucujem da pogledas malo kako radi CBAC (ip inspect)....!!!


pozdrav

+-