Anticisco http://anticisco.ru/forum/ |
|
Список доступа для Expressway - E c включенным MRA http://anticisco.ru/forum/viewtopic.php?f=2&t=11300 |
Страница 1 из 1 |
Автор: | AlexNiko [ 23 апр 2020, 17:30 ] |
Заголовок сообщения: | Список доступа для Expressway - E c включенным MRA |
Есть кластер из 2х ExpressWay-E с включенным MRA и (JABBER + WebRTC) на OUTSIDE IN ASA есть список доступа Код: access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 8443 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 5222 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 5061 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE gt 3477 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE lt 3484 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE gt 23999 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE lt 30000 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE gt 3601 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE lt 60000 Вопрос вот в чем. Почему при таком списке доступен пот 445. По идее же не должен? Где я ошибся? |
Автор: | Starican [ 23 апр 2020, 17:45 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Если верить приведенному ACL во всем что касается gt Port greater than operator lt Port less than operator Вы же знаете для чего это используется? |
Автор: | AlexNiko [ 23 апр 2020, 18:16 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Чертовски извеняюсь, бес попутал ))) Должно быть так Код: access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 8443 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 5222 access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3477 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 3484 access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 23999 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 30000 access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3601 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 60000 access-list OUTSIDE extended permit udp any4 object-group ExpwayE eq 5061 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq 5061 access-list OUTSIDE extended permit tcp any4 object-group ExpwayE eq https Сам виноват! |
Автор: | Starican [ 23 апр 2020, 18:20 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Я не знаю про беса, но эти правила некорректны (хотя конечно к порту 445 не имеют отношения) access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3477 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 3484 access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 23999 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 30000 access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3601 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 60000 Вы пытались сделать доступ от порта до порта? Для этого используется range А то что вы сделали открывает доступ access-list OUTSIDE extended permit udp any4 object-group ExpwayE gt 3477 - все что выше порта 3477 (не включая этот порт) - открыть (доступ с порта 3478 до 65535 access-list OUTSIDE extended permit udp any4 object-group ExpwayE lt 3484 - все что ниже порта 3484 (не включая этот порт) - открыть (доступ с порта 0 до 3483) Ну и следующие за этим доступы аналогично. |
Автор: | AlexNiko [ 23 апр 2020, 18:31 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Согласен, выглядит странно и для меня не понятно, но это их примера настройки от производителя ) Ну без учета CMS https://www.cisco.com/c/en/us/support/d ... html#anc14 |
Автор: | Bessmertniy [ 23 апр 2020, 22:20 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Никого я не путал, это все поклеп и провокация. А скажите в чем идея что-то фильтровать до Exp-E |
Автор: | AlexNiko [ 24 апр 2020, 08:28 ] |
Заголовок сообщения: | Re: Список доступа для Expressway - E c включенным MRA |
Ну как минимум закрыть доступ у админке експрессвея |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |