Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Cisco 3600 - access lista

[es] :: Enterprise Networking :: Cisco 3600 - access lista

[ Pregleda: 3783 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Liquid
Dubai

Član broj: 223
Poruke: 88
217.26.84.*

ICQ: 3744038


Profil

icon Cisco 3600 - access lista04.10.2005. u 08:31 - pre 225 meseci
...

!
ip access-list extended pptp
permit tcp 192.168.11.0 0.0.0.255 host 10.100.1.1 eq 1723
permit tcp 192.168.22.0 0.0.0.255 host 10.100.1.1 eq 1723
deny tcp any host 10.100.1.1 eq 1723
permit ip any any
!


Kratak izvod iz konfiguracije... zateceno stanje...

Imam pitanje za DENY liniju - da li generalno ima prioritet nad svim ostalim,
obzirom da je u prethodnim linijama dao PERMIT 192.168.xx.xx mrezama na 1723 ??

Ili ce oni imati prolaz, a svi ostali ne ?


Tnx. !

[mod trooper: izmenjen naslov teme]



[Ovu poruku je menjao trooper dana 04.10.2005. u 11:57 GMT+1]
 
Odgovor na temu

dulem
Dusan Martic
Beograd

Član broj: 5562
Poruke: 68
217.26.77.*



+2 Profil

icon Re: Cisco 3600 - Current configuration:04.10.2005. u 08:43 - pre 225 meseci
Odgovor je kratak: oni ce imati prolaz [.11 i .22] a ostali nece.
Naravno samo po portu 1723
 
Odgovor na temu

zi::
Igor Marinović
Manufaktura doo Internet inženjering
Palić

Član broj: 18090
Poruke: 642
*.manufacture.co.yu.

ICQ: 7715569
Sajt: www.marinowski.com


Profil

icon Re: Cisco 3600 - Current configuration:04.10.2005. u 10:21 - pre 225 meseci
Tako je. access-liste se parsuju linearno, i primenjuje se pravilo koje prvo odgovara.
 
Odgovor na temu

positive0

Član broj: 64952
Poruke: 143
*.hjpc.ba.



Profil

icon Re: Cisco 3600 - Current configuration:04.10.2005. u 10:52 - pre 225 meseci
PPTP? Ali, onda ti fali gre.


EDIT: moja greska...tek sad vidim permit any any

poz





[Ovu poruku je menjao positive0 dana 04.10.2005. u 11:54 GMT+1]
 
Odgovor na temu

horisen
Milos Grozdanovic
Paracin

Član broj: 71739
Poruke: 1
*.beotel.net.



Profil

icon Re: Cisco 3600 - access lista21.10.2005. u 13:33 - pre 224 meseci
Vrlo sam zainteresovan za ovu diskusiju, jer pokusavam da uspostavim tunel sa jednim Cisco pix firewallom 515. Na mojoj strani je hardverski firewall ZyXELL 5. Administrator koji odrzava Cisco firewall kaze da mora da dodeli port mojoj masini, odnosno komunikaciju da spusti na nivo porta. Kada komuniciramo na nivou IP-ja, uspostavljamo tunel bez ikakvih problema, ali kada on u svojoj access listi postavi komunikaciju na nivo porta, tunel nije moguce uspostaviti.
Inace nisam naveo da pokusavamo da ostvarimo VPN konekciju izmedju mog ZyWALL 5 i njihovog Cisco pix firewall 515. Ja o Cisco uredjajima ne znam mnogo, ali predpostavljam da njegova access lista izgleda:
permit tcp 192.168.1.1 0.0.0.255 host 10.10.10.10 eq 3700

gde je 192.168.1.1 IP adresa moje lokalne mreze (iza mog firewall-a),
10.10.10.10 IP adresa njegove lokalne mreze (iza njegovog firewall-a).
Mislim da jeport problematican. On meni dozvoljava ulaz na masinu 10.10.10.10 samo na port 3700, ali ja na tom portu ne mogu da uspostavim tunel. Ako on zeli da radi na ovaj nacin, mislim da njegova access lista mora da sadrzi jos jedan red u kojem ce da mi dozvoli i pristup na port 1723 da bih mogao da uspostavim tunel:

permit tcp 192.168.1.1 0.0.0.255 host 10.10.10.10 eq 1723.

Ja mislim da je ovo dovoljno da uspostavimo tunel izmedju dve privatne mreze, ali nisam siguran. Zato bih molio da mi neko da dodatna objasnjenja.
Unapred hvala.
 
Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
212.200.229.*



+18 Profil

icon Re: Cisco 3600 - access lista27.10.2005. u 17:12 - pre 224 meseci
Da, neka ti otvori port za VPN (1723) i veza bi trebalo da uspe.

Evo ovde smo malo raspravljali o VPN portu:

http://www.elitesecurity.org/tema/87727/0#562063

[Ovu poruku je menjao Marcony dana 27.10.2005. u 18:13 GMT+1]
YU2MP
 
Odgovor na temu

positive0

Član broj: 64952
Poruke: 143
*.wifi-01.sa.lol.ba.



Profil

icon Re: Cisco 3600 - access lista30.10.2005. u 17:18 - pre 224 meseci
PPTP se nikada ne koristi za tunelovane konekcije (site-to-site) - jednostavno nije napravljen za to i nema tu funkcionalnost. To je jednostavno MS-ova implemantacija remote-access tehnologije kao odgovor na cisco-v L2F.
Umjesto njega imas L2TP, GRE i pure IPSec. Pretpostavljam da je u tvom slucaju IPSec taj koji obavlja posao.
Portovi koji ce vam biti potrebni su: 500 za IKE, tj. 4500 za NAT-T + IP protokol 50/51 (u zavisnosti od toga sta ti radi posao: ESP ili AH).

U slucaju da zelis da ogranicis IPSec komunikaciju prema portu na pixu moras da iskljucis sysopt-ipsec i onda filtriras prema portovima!!!
Drugi nacin je da ovo radis advanced autorizacijom ipsec zahtjeva na TACACS-u ili RADIUS-u iza pixa, pa to onda moze da se izvede recimo nekim downloadable access-listama.
Treci bi bio pomocu nekog L3 switcha/routera iza pixa.
Mislim da ti je prvi najlaksi.

pozdrav



[Ovu poruku je menjao positive0 dana 30.10.2005. u 18:19 GMT+1]

[Ovu poruku je menjao positive0 dana 30.10.2005. u 18:19 GMT+1]
 
Odgovor na temu

[es] :: Enterprise Networking :: Cisco 3600 - access lista

[ Pregleda: 3783 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.