информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetSpanning Tree Protocol: недокументированное применениеГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
1-й пункт не нужен. Он итак "by default" 03.11.03 10:32  Число просмотров: 1464
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>

> если писать например так:
> 1. из сети А в сеть В запрещено все
> 2. из сети А в сеть В разрешено 80ый порт
> получается, что 80ый открыт.
<networking>
Cisco PIX 03.11.03 08:38  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
может быть вопрос и глупый.. но..
Честно скажу, рыть доки не очень горит желание..
Кто-нть может ТОЧНО сказать как субж обрабатывает акцесс-листы?
Т.е. последовательно сверху вниз до тех пока не найдет явное разрешение/запрещение.. Или перебирает все правила и принимает решение исходя из AND?

Спасибо.
Пример. (Если вопрос не понятен) 03.11.03 09:11  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
Список правил:
1. из сети А в сеть B разрешена вся tcp.
2. из сети A в сеть B запрещено порт 80.

Вопрос:
Порт 80 закрыт или нет?
цитирую 06.11.03 10:15  
Автор: allum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Список правил:
> 1. из сети А в сеть B разрешена вся tcp.
> 2. из сети A в сеть B запрещено порт 80.
>
> Вопрос:
> Порт 80 закрыт или нет?
Основы организации сетей CISCO(том2):
"При создании списков управления важен порядок, в котором располагаются соответствующие директивы. Принимая решение о дальнейшей отправке пакета или его блокировке, операционная система Cisco IOS проверяет его на соответствие всем директивам в том порядке, в котором они записывались. Если такое соответствие обнаружено, то остальные директивы не рассматриваются."
То же касается и запрещающей директивы.
Таким образом в примере вторая директива работать не будет, чтобы работала нужно переместить ее на верх

И еще один момент даже если явно не прописано Cisco по умолчанию считает что последней строчкой идет запрет всего (т.е. если явно не разрешишь - будет запрещено)


Насколько я понимаю 03.11.03 10:05  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> Список правил:
> 1. из сети А в сеть B разрешена вся tcp.
> 2. из сети A в сеть B запрещено порт 80.
>
> Вопрос:
> Порт 80 закрыт или нет?

акцесс-листы обрабатываются сверху вниз, но основной приоритет у запрета.
по твоему листу получается, что 80ый порт закрыт )

если писать например так:
1. из сети А в сеть В запрещено все
2. из сети А в сеть В разрешено 80ый порт
получается, что 80ый открыт.
Насколько я понимаю 03.11.03 11:38  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
> > Порт 80 закрыт или нет?
>
> акцесс-листы обрабатываются сверху вниз, но основной
> приоритет у запрета.
> по твоему листу получается, что 80ый порт закрыт )
>
> если писать например так:
> 1. из сети А в сеть В запрещено все
> 2. из сети А в сеть В разрешено 80ый порт
> получается, что 80ый открыт.

сам себя запутал ;-)
=) 03.11.03 11:55  
Автор: !mm <Ivan Ch.> Статус: Elderman
<"чистая" ссылка>
> > > Порт 80 закрыт или нет?
> >
> > акцесс-листы обрабатываются сверху вниз, но основной
> > приоритет у запрета.
> > по твоему листу получается, что 80ый порт закрыт )
> >
> > если писать например так:
> > 1. из сети А в сеть В запрещено все
> > 2. из сети А в сеть В разрешено 80ый порт
> > получается, что 80ый открыт.
>
> сам себя запутал ;-)

Я же писал, что ИМХО =) Знания циски у меня только на теоретическом уровне + немножка iptables (по аналогии).
Вон смотри - Zef говорит, что 1ый пункт "запрещено все" - по дефолту
Следом отвечает StR_, сообщает, что если у меня запрещена сеть А из сети В, то открывай, или не открывай 80ый порт, все равно фиолетово - ходить туда ничего не будет.
Где ж правда? :)

Я немножка неверно сказал - приоритет сначала отдается запрету, а потом следующему пункту по access list, то есть, последнее слово все равно за следующим пунктом.
Или я снова что-то путаю?
Ладно.. сделаем по-русски.. 03.11.03 13:50  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
..перепишем последовательность правил так, чтобы "и вашим и нашим" :-)
Насколько я понимаю 03.11.03 10:44  
Автор: StR_ Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 1. из сети А в сеть В запрещено все
> 2. из сети А в сеть В разрешено 80ый порт
> получается, что 80ый открыт.
нет
1-й пункт не нужен. Он итак "by default" 03.11.03 10:32  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>

> если писать например так:
> 1. из сети А в сеть В запрещено все
> 2. из сети А в сеть В разрешено 80ый порт
> получается, что 80ый открыт.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach