Cisco Router ACL beállítási nehézségek UDP/TCP portokon [MEGOLDVA]

Hálózatok általános

Hali!

Alábbi a topológia:

|R_Suli|-------------|R_Koli|------LAN

Router_Suli network: 192.168.64.0/24
Router_Koli network: 192.168.0.0/24

R_Koli-n szeretnék ACL-lel torrentet fileterlni, azaz csak bizonyos TCP és UDP portokat nyitva hagyni. R_Koli int e 1-ese a Suli felé néz és az int e 0-ás a LAN felé.
Ha az ACL így néz ki:

permit tcp any any eq 80
permit udp any any eq 53
permit icmp any any
permit ip any any

akkor elvileg csak a 80-as TCP és az 53-as UDP port van nyitva igaz?
Ezt pedi az int e 0 in és outjára access-group-pal rátéve az aktív is. Legalábbis a sho run ezt mutatja.Akkor miért van mégis az, hogy a torrent működik? Leg kell tiltanom még valamit, amit nem tettem?

Amúgy még több TCP port is nyitva van, mint 22, 23, 25, 110, 443, 995, 1863, 6891-6901 és még egy UDP a TFTPjé. Mit kúrok el? Static routingot használok.

Dani

  • 5334 megtekintés

( kbela | 2008. 03. 03., h – 13:18 )

Szerintem a permit ip any any elenged mindent. Tiltsad le a portokat, vagy tiltsad le teljes forgalmat es engedjed csak a szukseges portokat.

Így van. A CISCO router-ben az ACL-nél permit ip any any nem kell, mert ha az ACL listában nem talál egyezőt a csomagra, megy tovább, és ha a végén ott van az a szabály, akkor alapból kienged mindent. Tulképpen ezzel a szűrési listával semmit nem értél el, mivel a permit ip any any amúgy is kienged mindent. A lista végére kerül mindig implicit módon (nincs ott a szabály listában, de működik) egy deny any any szabály. Ha törlöd a permit ip any any szabályt, onnantól kezdve csak a korábban meghatározott portok fognak kimenni, az összes töbi forgalom tiltva lesz.

( vargadanis | 2008. 03. 03., h – 16:28 )

Szóval akkor feltételezzük a következőt:

permit ip any any
permit tcp any any eq www

azt csinálja, hogy mindent kienged a www-n bármilyen ip-ről bármilyen ip-re, de csak a www porton, igaz?

Igy oldottam meg a problemmat, remelem vki tudja majd hasznalni:

access-list 103 permit icmp any any
access-list 103 permit tcp any any eq www
access-list 103 permit tcp any any eq ftp
access-list 103 permit tcp any any eq 22
access-list 103 permit tcp any any eq telnet
access-list 103 permit tcp any any eq smtp
access-list 103 permit tcp any any eq pop3
access-list 103 permit tcp any any eq 443
access-list 103 permit tcp any any eq 1863
access-list 103 permit tcp any any range 6891 6900
access-list 103 permit tcp any any eq 143
access-list 103 permit tcp any any eq 5800
access-list 103 permit tcp any any eq 5900
access-list 103 permit udp any any eq 995
access-list 103 permit udp any any eq bootps
access-list 103 permit udp any any eq bootpc
access-list 103 permit udp any any eq 3389
access-list 103 deny udp any any neq domain
access-list 103 deny tcp any any neq 993
access-list 103 permit ip any any

Ennek így kb. semmi értelme. Engeded az ftp-t, telnetet stb-t, tiltod a domain-t meg a 993-at aztán meg engedsz mindent... Ugyanaz:

access-list 103 deny udp any any neq domain
access-list 103 deny tcp any any neq 993
access-list 103 permit ip any any
access-list 103 permit icmp any any

csak 4 sorban... De ezzel torrentet nem fogsz megfogni...

Nem. Permittel megengedi a szükségeseket, ezen kívül a két deny sorban az UDP/53-at és a TCP/993-at, az összes többi TCP-t és UDP-t tiltja, az egyéb, nem TCP vagy UDP protokollok pedig mehetnek. Nem biztos, hogy ezt szerette volna, de nem értelmetlen.

Ez:

access-list 103 deny udp any any neq domain
access-list 103 deny tcp any any neq 993
access-list 103 permit ip any any

egyenlő lenne a következővel, ami jobban átlátható, de kettővel több sor:

access-list 103 permit udp any any eq domain
access-list 103 permit tcp any any eq 993
access-list 103 deny udp any any
access-list 103 deny tcp any any
access-list 103 permit ip any any

És de, ezzel a torrentet megfogja, amennyiben az csak TCP-t vagy UDP-t használ. És ezen kívül az összes más nem engedélyezett TCP/UDP portra menő forgalmat is. Elegánsabban is meg lehetne oldani, például NBAR-ral, de a célt így is eléri.

Szerintem a permit ip any any egyaránt engedi a tcp-t is és az udp-t is.
link
Telnet uses TCP, port 23. This configuration shows that all TCP traffic destined to NetA for port 23 is blocked, and all other IP traffic is permitted.
hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 deny tcp any any eq 23
access-list 102 permit ip any any

Amit írsz, az igaz. Csakhogy az előtte lévő részlet is fontos, ami így szólt:

access-list 103 deny udp any any neq domain
access-list 103 deny tcp any any neq 993

Szövegesen kifejtve: megtilt minden olyan UDP forgalmat, ami nem az 53-as portra megy. Aztán eldobja az összes TCP csomagot, ami nem az 993-as portra menne. Azaz átengedi az UDP/53-at, de más UDP-t nem, és átengedi a TCP/993-at, de más TCP-t nem. És csak ezután jön a mindent átengedő permit ip any any. Ez csak a nem TCP és nem UDP forgalmat fogja megkapni és átengedni, mivel a sorban előrébb lévő szabályokra a TCP, UDP és ICMP forgalom már illeszkedett.
(neq = not equal. Match only packets not on a given port number)

Szia!

Ne strapáld magad, mert torrentet megfogni sima port szűréssel úgysem lehet, úgy tudom egyszerű Cisco access list meg ilyet nem tud. Bár soha nem próbáltam, de talán a Cisco CBAC (google: "CBAC site:cisco.com") tud ilyesmit. Valami megoldás biztosan van, de csak újabb routereken. Megfelelő "IOS feature set" is kell hozzá, talán még valami plusz hardware modul is.
Én inkább egy linuxos firewallt használnék L7 Filterrel. http://l7-filter.sourceforge.net/protocols

Üdv!
Exnor

Plusz utána megkéri a klienseket hogy "lécci ne állítsátok át a torrentet a 80-as portra, mert az ki van nyitva a web miatt, és úgy menne". :) (Lehet trükközni pixben port-misuse-szal, vagy proxy mögé rakni mindent, de ezek nélkül nehéz.)

Egyébként l7-filterrel sem lehet szűrni, lásd:
http://l7-filter.sourceforge.net/layer7-protocols/protocols/bittorrent…

Arra szűr, hogy "bittorrent protocol". Elég hülye az a mai torrent kliens amelyik ezt minden csomagba belerakja. :) (Lásd még: titkosítást nem támogató peer-ekkel szóba se állj kapcsoló az újabb kliensekben.)

+1, P2P-t nem lehet port alapján szűrni. Mivel egyesek ezzel próbálkoztak, a mai p2p protokollok már tetszőleges porton képesek működni, valaminek meg nyitva kell lennie...

protip: a port alapú szűréssel csak magadat fogod sz*patni, mert állandóan jönni fognak az emberek, hogy neki munkához/órához/kutatáshoz el kell tudnia érni a [1025-65535] tartományt.

Linux tűzfalon viszont az l7 filter mellett az ipp2p tudom ajánlani netfilterhez.

Igazából a p2p szűrését vesztett játszmának tartom, a "szűrési kísérletek" csak azt segítik elő, hogy a p2p ssh/https/sip+rtp -be lesz beágyazva...

--
The Net is indeed vast and infinite...
http://gablog.eu

Az igaz, hogy az emberek egy ideig jönni fognak a kinjaikkal, hogy engedélyezzem nekik a portot, de ez meg is teszem, ha megy a net. Jelenleg úgy fest a helyzet, hogy a suli 3Mbs-es netét 90%ban a torrentforgalom húzza le, azaz az MSNezés, levelezés, forumozás etc nem mennek.
Ez egy középsuli, ráadásul kéttannyelvű. Itt az emberek azt sem tudják mi az a port. Egy szimpla 806SOHO routerrel sikeresen tudjuk a torrentet semlegesiteni.

A többieknek meg köszi az észrevételeket. Az elegánsabb módszereknek magam is utána járok majd.
Sajnos nincsen lehetőség Linux Firewallt berakni. Azért majd rágom a fejesek fülét. Csak az a baj, hogy mint diák nem sok beleszólásom van a dolgokba.

Nem fogsz. CCNA-ban biztos nem (tudom, most végeztem el), talán még CCNP-ben sem, bár annak az anyagát még nem néztem végig hogy mi van benne. Inkább a CCSP (CISCO Certified Security Professional) képzésben lesz ez benne, a PIX tűzfalaknál. layer7filterrel linux alatt tudod korlátozni a torrent-nek adható sávszélességet, és be tudod rakni egy olyan prioritási sorba hogy minden más előtte legyen és torrent csak akkor mehessen ha nincs más érdemleges forgalom. De ahogy több előttem szóló is megjegyezte: mivel a torrent kliensek tkp bármiféle portról használhatók, ez se tökéletes megoldás. Inkább azt kellene elérni, hogy az iskolai számítógépeken senki ne telepíthessen/használhasson torrent klienst, mint hogy a tűzfalon próbálod megfogni.
Ja, még valami: ha magán a routeren csinálsz csomagszűrést, minél többen nyomulnak rá a vonalra, eléggé le fogja terhelni, mivel alapból a routert nem tűzfal funkciókra szánták elsősorban...Jó lenne ha be tudnál rakni elé egy Linux tűzfalat.

"Ja, még valami: ha magán a routeren csinálsz csomagszűrést, minél többen nyomulnak rá a vonalra, eléggé le fogja terhelni, mivel alapból a routert nem tűzfal funkciókra szánták elsősorban..."

Ez mondjuk erősen routerfüggő, a komolyabb, felsőkategóriás routerek bírják, de úgysejtem itt valami 1xxx sorozat lehet, az tényleg hamar kiakasztható.

( vargadanis | 2008. 03. 06., cs – 20:34 )

Még csak az sem. Csak egy 806-osról van szó, de nem sok az, amit ki kell szolgálnia. Mindössze 4 gép a galérián, meg egy WLAN, amire nincsen több, mint 15 gép csatlakozva egyszerre. Amúgy a sulinet központilag egy 1711-est tet be. Nekem van még egy 3620-asom, de azt tuti nem rakom be. :)