> Список правил: > 1. из сети А в сеть B разрешена вся tcp. > 2. из сети A в сеть B запрещено порт 80. > > Вопрос: > Порт 80 закрыт или нет? Основы организации сетей CISCO(том2):
"При создании списков управления важен порядок, в котором располагаются соответствующие директивы. Принимая решение о дальнейшей отправке пакета или его блокировке, операционная система Cisco IOS проверяет его на соответствие всем директивам в том порядке, в котором они записывались. Если такое соответствие обнаружено, то остальные директивы не рассматриваются."
То же касается и запрещающей директивы.
Таким образом в примере вторая директива работать не будет, чтобы работала нужно переместить ее на верх
И еще один момент даже если явно не прописано Cisco по умолчанию считает что последней строчкой идет запрет всего (т.е. если явно не разрешишь - будет запрещено)
может быть вопрос и глупый.. но..
Честно скажу, рыть доки не очень горит желание..
Кто-нть может ТОЧНО сказать как субж обрабатывает акцесс-листы?
Т.е. последовательно сверху вниз до тех пока не найдет явное разрешение/запрещение.. Или перебирает все правила и принимает решение исходя из AND?
Спасибо.
Пример. (Если вопрос не понятен)03.11.03 09:11 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
> Список правил: > 1. из сети А в сеть B разрешена вся tcp. > 2. из сети A в сеть B запрещено порт 80. > > Вопрос: > Порт 80 закрыт или нет? Основы организации сетей CISCO(том2):
"При создании списков управления важен порядок, в котором располагаются соответствующие директивы. Принимая решение о дальнейшей отправке пакета или его блокировке, операционная система Cisco IOS проверяет его на соответствие всем директивам в том порядке, в котором они записывались. Если такое соответствие обнаружено, то остальные директивы не рассматриваются."
То же касается и запрещающей директивы.
Таким образом в примере вторая директива работать не будет, чтобы работала нужно переместить ее на верх
И еще один момент даже если явно не прописано Cisco по умолчанию считает что последней строчкой идет запрет всего (т.е. если явно не разрешишь - будет запрещено)
Насколько я понимаю03.11.03 10:05 Автор: !mm <Ivan Ch.> Статус: Elderman
> > Порт 80 закрыт или нет? > > акцесс-листы обрабатываются сверху вниз, но основной > приоритет у запрета. > по твоему листу получается, что 80ый порт закрыт ) > > если писать например так: > 1. из сети А в сеть В запрещено все > 2. из сети А в сеть В разрешено 80ый порт > получается, что 80ый открыт.
> > > Порт 80 закрыт или нет? > > > > акцесс-листы обрабатываются сверху вниз, но основной > > приоритет у запрета. > > по твоему листу получается, что 80ый порт закрыт ) > > > > если писать например так: > > 1. из сети А в сеть В запрещено все > > 2. из сети А в сеть В разрешено 80ый порт > > получается, что 80ый открыт. > > сам себя запутал ;-)
Я же писал, что ИМХО =) Знания циски у меня только на теоретическом уровне + немножка iptables (по аналогии).
Вон смотри - Zef говорит, что 1ый пункт "запрещено все" - по дефолту
Следом отвечает StR_, сообщает, что если у меня запрещена сеть А из сети В, то открывай, или не открывай 80ый порт, все равно фиолетово - ходить туда ничего не будет.
Где ж правда? :)
Я немножка неверно сказал - приоритет сначала отдается запрету, а потом следующему пункту по access list, то есть, последнее слово все равно за следующим пунктом.
Или я снова что-то путаю?
Ладно.. сделаем по-русски..03.11.03 13:50 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
