Дата  Запланированые курсы
20.05 MOC-20742B. Инфраструктура идентификации на основе Windows Server 2016
20.05 MOC-10985. Введение в базы данных SQL
20.05 Работа в MS Excel. Расширенные возможности
20.05 Adobe After Effects. Создание анимации и эффектов
20.05 DEV-C21. Объектно-ориентированное программирование. Углубленное изучение. Язык С++
20.05 DEV-PY200. Объектно-ориентированное программирование на языке Python
27.05 Средства растровой графики. Adobe Photoshop
28.05 Обработка и анализ данных в базах данных (SQL, MS Access)
29.05 Автоматизация работы в Excel с использованием VBA
29.05 Java для тестировщиков. Уровень 1
03.06 NET-DLINKSW. Технологии коммутации современных сетей Ethernet
03.06 Разработка баз данных (MS Access)
03.06 Средства векторной графики. Adobe Illustrator
03.06 Компьютерное проектирование в системе AutoCAD (профессиональный курс)
03.06 MOC-20744A. Безопасность инфраструктуры средствами Windows Server 2016
03.06 DEV-J60. Технологии разработки корпоративных приложений на платформе Java Enterprise Edition (Java EE)
03.06 Основы алгоритмизации и программирования (Группа I)
10.06 Adobe Photoshop для профессионалов
17.06 DEV-J-MP+. Расширенная комплексная программа "Разработчик прикладного программного обеспечения (Язык Java)"
17.06 DEV-J10. Программирование на платформе Java. Введение в язык Java
17.06 Поисковая оптимизация (SEO)
17.06 DEV-J-CP. Комплексная программа "Разработчик прикладного программного обеспечения (Язык Java)"
17.06 DEV-C22. Стандарт С++11, С++14, С++17 для прикладного программирования
20.06 DEV-PYQT. Разработка оконных приложений Python c использованием Qt
24.06 DEV-J20. Программирование на платформе Java. Стандартные пакеты
01.07 DEV-J30. Программирование на платформе Java. Разработка многоуровневых приложений
01.07 Поисковая оптимизация (SEO) для профессионалов
08.07 Введение в тестирование программного обеспечения
08.07 Профессиональная верстка сайтов. HTML5 и CSS3
02.09 DEV-PYWEB. Разработка WEB приложений на языке Python
02.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
02.09 DEV-QT10. Прикладное программирование на С++ с использованием Qt. Базовый уровень
09.09 DEV-J60. Технологии разработки корпоративных приложений на платформе Java Enterprise Edition (Java EE)
16.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Нужна подсказка, пожалуйста!
kolandro
#1 Оставлено : 18 декабря 2008 г. 15:46:28(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Всем привет!
Подскажите, пожалуйста, в чем техническая разница между такими записями в аксесс листах циско:
permit tcp host 192.168.155.16 eq 443 any
и
permit tcp host 192.168.155.16 any eq 443
Это - аксесс лист, прибитый к интрефейсу для фильтрации трафика, направленного из локальной сети наружу.
Другой аксесс лист, фильтрующий трафик снаружи вовнутрь содержит запись:
permit tcp any host 195.218.45.67 eq 443
ТАК ВОТ...
При таком общем раскладе в аксесс листах, если для "изнутри наружу" использовать запись

permit tcp host 192.168.155.16 any eq 443

То к OWA через SSL не подключиться, а если использовать

permit tcp host 192.168.155.16 eq 443 any

ТО все работает нормально!

Реклама
Arthur.Rabizhanovich
#2 Оставлено : 18 декабря 2008 г. 16:20:26(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.09.2006(UTC)
Сообщений: 331
Баллов: 993
Откуда: Burkina Faso (Upper Volta) Уагадугу

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote"><i>Originally posted by kolandro</i>
<br />permit tcp host 192.168.155.16 eq 443 any
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
разрешить доступ с машины с исходящим адресом 192.168.155.16 и исходящим портом 443, на машину с любым адресом и любым портом

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote"><i>Originally posted by kolandro</i>
<br />permit tcp host 192.168.155.16 any eq 443
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
разрешить доступ с машины с исходящим адресом 192.168.155.16 и любым исходящим портом, на машину с любым адресом и входящим портом 443

Turdus sibi malum сaсat
Turdus sibi malum сaсat
kolandro
#3 Оставлено : 18 декабря 2008 г. 16:46:39(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Да, именно так я и понимаю эту тему, но почему тогда в одном случае работает, а другом - нет? ...если в любом из двух случаев машине разрешен и исход по 443 порту, и на удаленную машину вход по 443??
Ivan.Bryk
#4 Оставлено : 18 декабря 2008 г. 16:50:52(UTC)
Ivan.Bryk

Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.12.2002(UTC)
Сообщений: 24
Баллов: 72
Откуда: Russia Санкт-Петербург

Поблагодарили: 1 раз в 1 постах
Конфиг на обозрение!

kolandro
#5 Оставлено : 18 декабря 2008 г. 17:32:35(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Все, что нужно преведено выше. Дополнить могу лишь тем, что еще настроен такой вот НАТ

ip nat inside source static tcp 192.168.155.16 443 interface Ethernet1/0 443

Конфиг - трехэтажный. Не имеет смысла выкладывать.
Ivan.Bryk
#6 Оставлено : 18 декабря 2008 г. 17:40:50(UTC)
Ivan.Bryk

Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.12.2002(UTC)
Сообщений: 24
Баллов: 72
Откуда: Russia Санкт-Петербург

Поблагодарили: 1 раз в 1 постах
Интересно все же посмотреть как применяются списки контроля доступа на интерфейсах.

kolandro
#7 Оставлено : 18 декабря 2008 г. 18:21:27(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

interface FastEthernet0/0
description Connected to PIX
ip address 192.168.20.1 255.255.255.0
ip access-group InsideACL in
ip nat inside
service-policy input DenyPolicyMap
speed auto

interface Ethernet1/0
description Connect to Internet
ip address 195.218.45.67 255.255.255.252
ip access-group OutsideACL in
ip nat outside
half-duplex

Трафик уходит через пикс в другой филиал, а если не проходит по маске сети удаленного филиала - все остальное маршрутизатор отдает в инет, и ограничивается его аксесс листами.
InsideACL содержит
permit tcp host 192.168.155.16 eq 443 any
или
permit tcp host 192.168.155.16 any eq 443
OutsideACL содержит
permit tcp any host 195.218.45.67 eq 443
Dimitry.Ketov
#8 Оставлено : 18 декабря 2008 г. 19:31:10(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

Только _сервер_ работает на 443 порту, не его клиенты.
kolandro
#9 Оставлено : 18 декабря 2008 г. 20:16:44(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Дмитрий, можно подетальнее все же ответить на вопрос (на пальцах, так сказать), почему у меня первый вариант не работает, а второй - работает? См. изначальное описание проблемы.
Ivan.Bryk
#10 Оставлено : 18 декабря 2008 г. 20:25:15(UTC)
Ivan.Bryk

Ранг: Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.12.2002(UTC)
Сообщений: 24
Баллов: 72
Откуда: Russia Санкт-Петербург

Поблагодарили: 1 раз в 1 постах
permit tcp host 192.168.155.16 any eq 443
Разрешаем от узла 192.168.155.16 ко всем узлам, но только на порт 443. Вот и все, ответы от сервера не проходят, т.к. идут они на высокий порт.

kolandro
#11 Оставлено : 18 декабря 2008 г. 23:38:42(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Иван, спасибо! Немного яснее.
Не думайте, что совсем глупый (я просто не очень хорошо эту "портографию" знаю). Под "высоким портом" подразумеваются порты выше 1022-го, кажется? И тогда почему ответы от сервера "идут на высокий порт"?
Я, кстати, учился на ФПС на 5-дневном курсе подготовки к CCNA - вынес с него очень мало :( ДО всего доходил "через интернет"
Может, не на тот курс ходил??
Знаний по циско (в первую очередь по протоколам и портам, для чего и что нужно открыть, чтоб работало, что закрыть, чтоб не прохачили, туннелирование, аутентификация, шифрование, voIP) ДЕЙСТВИТЕЛЬНО НЕ ХВАТАЕТ! До всего кусками доходил сам, свои конфиги собрал - работают, а вопросы, порой, могу задавать дурные, т.к. целостности знаний материала нет!
Arthur.Rabizhanovich
#12 Оставлено : 19 декабря 2008 г. 1:04:22(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.09.2006(UTC)
Сообщений: 331
Баллов: 993
Откуда: Burkina Faso (Upper Volta) Уагадугу

Значит так.
Машина из инета отправляет запрос на адрес 195.218.45.67:443. Для простоты возьмём её адрес 1.1.1.1:[1024-65536]. Пакет доходит до маршрутизатора и проверяется правилом "permit tcp any host 195.218.45.67 eq 443". Всё отлично - ему даётся "добро" на проход. Дальше ему в заголовке меняют адрес назначения на 192.168.155.16, а порт остаётся назначенным из диапазона [1024-65536]. OWA этот пакет хавает, и отсылает ответ на адрес 192.168.20.1 и порт из [1024-65536] (потому что думает, что пакет пришёл от маршрутизатора). При этом адрес источника 192.168.155.16:443.
А далее сравнение.
1) permit tcp host 192.168.155.16 eq 443 any (разрешить доступ с машины с исходящим адресом 192.168.155.16 и исходящим портом 443, на машину с любым адресом и любым портом): соответствует, значит проходит. Дальше меняется заголовок и пакет уходит к клиенту.
2) permit tcp host 192.168.155.16 any eq 443 (разрешить доступ с машины с исходящим адресом 192.168.155.16 и любым исходящим портом, на машину с любым адресом и входящим портом 443). Это правило не срабатывает, так как входящий порт удалённой машины находится в диапазоне [1024-65536] и пакет идёт ф топку.

Доступно?


Turdus sibi malum сaсat
Turdus sibi malum сaсat
kolandro
#13 Оставлено : 19 декабря 2008 г. 1:40:42(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Во! Вот это педагогика! Артур, спасибо! Я понял процесс слету!
Вот только вопрос: в самом начале мы берем адрес 1.1.1.1:[1024-65536]... А почему именно такой диапазон портов образуется? А может быть, например, что исходящий от клиента пакет таков: адрес 1.1.1.1:[1-65536], и тогда возврат от сервера на порт 443 попадет в этот диапазон, и пакет будет принят?
"Дальше ему в заголовке меняют адрес назначения на 192.168.155.16" - а вот здесь, я так понимаю, отработал NAT?
Arthur.Rabizhanovich
#14 Оставлено : 19 декабря 2008 г. 2:23:23(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.09.2006(UTC)
Сообщений: 331
Баллов: 993
Откуда: Burkina Faso (Upper Volta) Уагадугу

По диапазону портов - таково соглашение. За каждым из них стоит своё приложение во избежании путаницы. Конечно исходному пакету можно назначить исходящим портом 443, и тогда хост при любом правиле на маршрутизаторе получит ответ от OWA. Но, если машина клиента попутно ожидает другие пакеты по 443 порту, то как она поведёт себя в этом случае непонятно.
Про смену адреса - это NAT.

Turdus sibi malum сaсat
Turdus sibi malum сaсat
kolandro
#15 Оставлено : 19 декабря 2008 г. 14:55:41(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Артур, спасибо еще раз! Стало еще понятнее.
А вот технически, как можно исходящему пакету назначить принудительно адрес, ну, как в нашем примере - 443?
У нас клиент OWA открывает IE, или Opera, вбивает адрес https:// и так далее... Где в этом процессе можно вмешаться, чтобы заставить приложение отправлять пакеты данных от 443 порта, а не в диапазоне 1024-65536?
Dimitry.Ketov
#16 Оставлено : 19 декабря 2008 г. 17:00:36(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote">Может, не на тот курс ходил??<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Конечно не на тот.

Читаем www.avalon.ru/Cou...e=CISCO-ICND#annotation www.avalon.ru/Courses/Networking/Courses/About/?Code=CISCO-ICND#prerequisite и www.avalon.ru/Cou...CO-ICND#preliminarytest
Явно видим, что вы должны были к _началу_ курса понимать что такое клиент и сервер и как выбираются их порты.
А еще видим что курс предназначался для _специалистов_ стартового уровня, просто незнакомых с конкретным железом - cisco.
Нигде не сказано, что вас будут учить всему тому, чего вы действительно не знаете.

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote">Знаний по циско (в первую очередь по протоколам и портам, для чего и что нужно открыть, чтоб работало, что закрыть, чтоб не прохачили, туннелирование, аутентификация, шифрование, voIP) ДЕЙСТВИТЕЛЬНО НЕ ХВАТАЕТ<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
А причем тут, извините, cisco? Вы не владеете технологиями и их основами, зачем вам эта гламурная cisco?
Это знаете-ли, напомниает человека без знаний офтальмологии, пытающегося изучать работу модного эксимерного лазера для коррекции зрения.

Ничего личного, но со стороны звучит как претензия к качеству нашего обучения, в то время как проблема заключается в некорректном выборе Вами курса.
kolandro
#17 Оставлено : 19 декабря 2008 г. 18:01:53(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Дмитрий, я в вашем Деканате обозначил проблему, сказал, что мне нужны такие-то и такие-то знания. Меня направили на этот курс.
Тогда задам вопрос Вам: какой курс на вашем ФПС мне надо прослушать, чтобы восполнить недостаток вышеупомянутых знаний?
Dimitry.Ketov
#18 Оставлено : 19 декабря 2008 г. 19:01:37(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote">... в вашем Деканате обозначил проблему, сказал, что мне нужны такие-то и такие-то знания...<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
К сожалению, на текущий день мы не предоставляем услугу "подбор обучения" по задачам заказчика, эта деятельность силами нашего подразделения сетевых технологий будет развернута не раньше 2009 года. Секретари деканата могут лишь подсказать названия курсов, примерно соотвествующих вашим запросам, расценивать их подсказки как окончательные экспертные оценки - неверно.
В деканате и на сайте есть всегда развренутые программы обучения, аннотации, требования к начальному уровню знаний и т.д. (в отличии от многих наших конкурентов)
Просто когда наши заказчики ленятся с этой открытой информацией ознакомиться и немного призадуматься о выборе правильного обучения, а потом обвиняют нас в некачественном обучении - становится обидно.
kolandro
#19 Оставлено : 20 декабря 2008 г. 0:00:42(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 13.11.2003(UTC)
Сообщений: 46
Баллов: 138

Спасибо! В 2009-ом пойду учиться повторно! :)
Dimitry.Ketov
#20 Оставлено : 20 декабря 2008 г. 1:48:02(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote"><i>Originally posted by kolandro</i>
<br />Спасибо! В 2009-ом пойду учиться повторно! :)
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Повторно [:)] не имеет смысла, Вам просто нужно составить правильный план восполнения оставшихся пробелов в знаниях.
Если к тому времени, когда Вы надумаете учиться, такая услуга еще не будет публично доступна, обращайтесь ко мне, поможем вам с определением действительно необходимых _лично_ Вам курсов.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.