Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Насколько я понимаю 03.11.03 11:38 Число просмотров: 1471
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
> > Порт 80 закрыт или нет? > > акцесс-листы обрабатываются сверху вниз, но основной > приоритет у запрета. > по твоему листу получается, что 80ый порт закрыт ) > > если писать например так: > 1. из сети А в сеть В запрещено все > 2. из сети А в сеть В разрешено 80ый порт > получается, что 80ый открыт.
сам себя запутал ;-)
|
<networking>
|
Cisco PIX 03.11.03 08:38
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
может быть вопрос и глупый.. но..
Честно скажу, рыть доки не очень горит желание..
Кто-нть может ТОЧНО сказать как субж обрабатывает акцесс-листы?
Т.е. последовательно сверху вниз до тех пока не найдет явное разрешение/запрещение.. Или перебирает все правила и принимает решение исходя из AND?
Спасибо.
|
|
Пример. (Если вопрос не понятен) 03.11.03 09:11
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
Список правил:
1. из сети А в сеть B разрешена вся tcp.
2. из сети A в сеть B запрещено порт 80.
Вопрос:
Порт 80 закрыт или нет?
|
| |
цитирую 06.11.03 10:15
Автор: allum Статус: Незарегистрированный пользователь
|
> Список правил: > 1. из сети А в сеть B разрешена вся tcp. > 2. из сети A в сеть B запрещено порт 80. > > Вопрос: > Порт 80 закрыт или нет? Основы организации сетей CISCO(том2):
"При создании списков управления важен порядок, в котором располагаются соответствующие директивы. Принимая решение о дальнейшей отправке пакета или его блокировке, операционная система Cisco IOS проверяет его на соответствие всем директивам в том порядке, в котором они записывались. Если такое соответствие обнаружено, то остальные директивы не рассматриваются."
То же касается и запрещающей директивы.
Таким образом в примере вторая директива работать не будет, чтобы работала нужно переместить ее на верх
И еще один момент даже если явно не прописано Cisco по умолчанию считает что последней строчкой идет запрет всего (т.е. если явно не разрешишь - будет запрещено)
|
| |
Насколько я понимаю 03.11.03 10:05
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> Список правил: > 1. из сети А в сеть B разрешена вся tcp. > 2. из сети A в сеть B запрещено порт 80. > > Вопрос: > Порт 80 закрыт или нет?
акцесс-листы обрабатываются сверху вниз, но основной приоритет у запрета.
по твоему листу получается, что 80ый порт закрыт )
если писать например так:
1. из сети А в сеть В запрещено все
2. из сети А в сеть В разрешено 80ый порт
получается, что 80ый открыт.
|
| | |
Насколько я понимаю 03.11.03 11:38
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
> > Порт 80 закрыт или нет? > > акцесс-листы обрабатываются сверху вниз, но основной > приоритет у запрета. > по твоему листу получается, что 80ый порт закрыт ) > > если писать например так: > 1. из сети А в сеть В запрещено все > 2. из сети А в сеть В разрешено 80ый порт > получается, что 80ый открыт.
сам себя запутал ;-)
|
| | | |
=) 03.11.03 11:55
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> > > Порт 80 закрыт или нет? > > > > акцесс-листы обрабатываются сверху вниз, но основной > > приоритет у запрета. > > по твоему листу получается, что 80ый порт закрыт ) > > > > если писать например так: > > 1. из сети А в сеть В запрещено все > > 2. из сети А в сеть В разрешено 80ый порт > > получается, что 80ый открыт. > > сам себя запутал ;-)
Я же писал, что ИМХО =) Знания циски у меня только на теоретическом уровне + немножка iptables (по аналогии).
Вон смотри - Zef говорит, что 1ый пункт "запрещено все" - по дефолту
Следом отвечает StR_, сообщает, что если у меня запрещена сеть А из сети В, то открывай, или не открывай 80ый порт, все равно фиолетово - ходить туда ничего не будет.
Где ж правда? :)
Я немножка неверно сказал - приоритет сначала отдается запрету, а потом следующему пункту по access list, то есть, последнее слово все равно за следующим пунктом.
Или я снова что-то путаю?
|
| | | | |
Ладно.. сделаем по-русски.. 03.11.03 13:50
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
..перепишем последовательность правил так, чтобы "и вашим и нашим" :-)
|
| | |
Насколько я понимаю 03.11.03 10:44
Автор: StR_ Статус: Незарегистрированный пользователь
|
> 1. из сети А в сеть В запрещено все > 2. из сети А в сеть В разрешено 80ый порт > получается, что 80ый открыт. нет
|
| | |
1-й пункт не нужен. Он итак "by default" 03.11.03 10:32
Автор: Zef <Alloo Zef> Статус: Elderman
|
> если писать например так: > 1. из сети А в сеть В запрещено все > 2. из сети А в сеть В разрешено 80ый порт > получается, что 80ый открыт.
|
|
|