Неоднократно встречался по работе с таким вопросом, но недавно опять обнаружил в Интернете вопрос, связанный с тем, как работают ACL на сетевом оборудовании и в каком направлении их применять.
Рассмотрим на примере, когда ПК находится в подсети 10.0.10.0/24, DNS-сервер - в 10.0.20.0/24. См. картинку.
Поймем, какой ACL на каком этапе срабатывает. Исходим из того, что ACL не рефлексивные, то есть, нужно открывать их как для запросов, так и для ответных пакетов.
Как идет информационный обмен:
То есть, ACL должны выглядеть таким образом (возможны вариации в зависимости от производителя маршрутизатора и версии ПО):
ACL_VLAN10_in
10 permit udp <PC> gt 1024 <DNS_server> eq 53
ACL_VLAN10_out
10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_in
10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_out
10 permit udp <PC> gt 1024 <DNS_server> eq 53
Видно, что в частном этом случае
ACL_VLAN10_in = ACL_VLAN20_out
ACL_VLAN10_out = ACL_VLAN20_in
Естественно, в приближенной к продуктиву среде идентичны будут не полностью ACL, а строки, описывающие взаимодействие между данными подсетями.
Надеюсь, информация будет полезной.
Рассмотрим на примере, когда ПК находится в подсети 10.0.10.0/24, DNS-сервер - в 10.0.20.0/24. См. картинку.
Поймем, какой ACL на каком этапе срабатывает. Исходим из того, что ACL не рефлексивные, то есть, нужно открывать их как для запросов, так и для ответных пакетов.
- UDP-пакет с src port >1024 и dst port 53 инициируется PC.
- С точки зрения маршрутизатора для интерфейса VLAN10 этот пакет будет входящим, поэтому будет проходить проверку ACL_VLAN10_in.
- По таблице маршрутизации пакет направляется через интерфейс назначения VLAN20.
- Для интерфейса VLAN20 пакет считается исходящим, и инспектируется ACL, примененным на out для интерфейса (ACL_VLAN20_out).
- Запрос доходит до сервера и обрабатывается им. Генерируется ответный UDP-пакет с src port 53 и dst port >1024(именно тем, с которым пришел пакет).
- На входе в маршрутизатор пакет проходит ACL_VLAN20_in.
- По таблице маршрутизации пакет направляется через интерфейс назначения VLAN10.
- На выходе из маршрутизатора пакет проверяется ACL_VLAN10_out.
- Ответ приходит к ПК.
То есть, ACL должны выглядеть таким образом (возможны вариации в зависимости от производителя маршрутизатора и версии ПО):
ACL_VLAN10_in
10 permit udp <PC> gt 1024 <DNS_server> eq 53
ACL_VLAN10_out
10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_in
10 permit udp <DNS_server> eq 53 <PC> gt 1024
ACL_VLAN20_out
10 permit udp <PC> gt 1024 <DNS_server> eq 53
Видно, что в частном этом случае
ACL_VLAN10_in = ACL_VLAN20_out
ACL_VLAN10_out = ACL_VLAN20_in
Естественно, в приближенной к продуктиву среде идентичны будут не полностью ACL, а строки, описывающие взаимодействие между данными подсетями.
Надеюсь, информация будет полезной.
Комментариев нет:
Отправить комментарий