[ Liquid @ 04.10.2005. 08:31 ] @
|
| ...
!
ip access-list extended pptp
permit tcp 192.168.11.0 0.0.0.255 host 10.100.1.1 eq 1723
permit tcp 192.168.22.0 0.0.0.255 host 10.100.1.1 eq 1723
deny tcp any host 10.100.1.1 eq 1723
permit ip any any
!
Kratak izvod iz konfiguracije... zateceno stanje...
Imam pitanje za DENY liniju - da li generalno ima prioritet nad svim ostalim,
obzirom da je u prethodnim linijama dao PERMIT 192.168.xx.xx mrezama na 1723 ??
Ili ce oni imati prolaz, a svi ostali ne ?
Tnx. !
[mod trooper: izmenjen naslov teme]
[Ovu poruku je menjao trooper dana 04.10.2005. u 11:57 GMT+1] |
[ dulem @ 04.10.2005. 08:43 ] @
Odgovor je kratak: oni ce imati prolaz [.11 i .22] a ostali nece.
Naravno samo po portu 1723
[ zi:: @ 04.10.2005. 10:21 ] @
Tako je. access-liste se parsuju linearno, i primenjuje se pravilo koje prvo odgovara.
[ positive0 @ 04.10.2005. 10:52 ] @
PPTP? Ali, onda ti fali gre.
EDIT: moja greska...tek sad vidim permit any any
poz
[Ovu poruku je menjao positive0 dana 04.10.2005. u 11:54 GMT+1][ horisen @ 21.10.2005. 13:33 ] @
Vrlo sam zainteresovan za ovu diskusiju, jer pokusavam da uspostavim tunel sa jednim Cisco pix firewallom 515. Na mojoj strani je hardverski firewall ZyXELL 5. Administrator koji odrzava Cisco firewall kaze da mora da dodeli port mojoj masini, odnosno komunikaciju da spusti na nivo porta. Kada komuniciramo na nivou IP-ja, uspostavljamo tunel bez ikakvih problema, ali kada on u svojoj access listi postavi komunikaciju na nivo porta, tunel nije moguce uspostaviti.
Inace nisam naveo da pokusavamo da ostvarimo VPN konekciju izmedju mog ZyWALL 5 i njihovog Cisco pix firewall 515. Ja o Cisco uredjajima ne znam mnogo, ali predpostavljam da njegova access lista izgleda:
permit tcp 192.168.1.1 0.0.0.255 host 10.10.10.10 eq 3700
gde je 192.168.1.1 IP adresa moje lokalne mreze (iza mog firewall-a),
10.10.10.10 IP adresa njegove lokalne mreze (iza njegovog firewall-a).
Mislim da jeport problematican. On meni dozvoljava ulaz na masinu 10.10.10.10 samo na port 3700, ali ja na tom portu ne mogu da uspostavim tunel. Ako on zeli da radi na ovaj nacin, mislim da njegova access lista mora da sadrzi jos jedan red u kojem ce da mi dozvoli i pristup na port 1723 da bih mogao da uspostavim tunel:
permit tcp 192.168.1.1 0.0.0.255 host 10.10.10.10 eq 1723.
Ja mislim da je ovo dovoljno da uspostavimo tunel izmedju dve privatne mreze, ali nisam siguran. Zato bih molio da mi neko da dodatna objasnjenja.
Unapred hvala.
[ Marcony @ 27.10.2005. 17:12 ] @
Da, neka ti otvori port za VPN (1723) i veza bi trebalo da uspe.
Evo ovde smo malo raspravljali o VPN portu:
http://www.elitesecurity.org/tema/87727/0#562063
[Ovu poruku je menjao Marcony dana 27.10.2005. u 18:13 GMT+1][ positive0 @ 30.10.2005. 17:18 ] @
PPTP se nikada ne koristi za tunelovane konekcije (site-to-site) - jednostavno nije napravljen za to i nema tu funkcionalnost. To je jednostavno MS-ova implemantacija remote-access tehnologije kao odgovor na cisco-v L2F.
Umjesto njega imas L2TP, GRE i pure IPSec. Pretpostavljam da je u tvom slucaju IPSec taj koji obavlja posao.
Portovi koji ce vam biti potrebni su: 500 za IKE, tj. 4500 za NAT-T + IP protokol 50/51 (u zavisnosti od toga sta ti radi posao: ESP ili AH).
U slucaju da zelis da ogranicis IPSec komunikaciju prema portu na pixu moras da iskljucis sysopt-ipsec i onda filtriras prema portovima!!!
Drugi nacin je da ovo radis advanced autorizacijom ipsec zahtjeva na TACACS-u ili RADIUS-u iza pixa, pa to onda moze da se izvede recimo nekim downloadable access-listama.
Treci bi bio pomocu nekog L3 switcha/routera iza pixa.
Mislim da ti je prvi najlaksi.
pozdrav
[Ovu poruku je menjao positive0 dana 30.10.2005. u 18:19 GMT+1]
[Ovu poruku je menjao positive0 dana 30.10.2005. u 18:19 GMT+1]
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.