Caro Alessandro,
> 1- No caso do established, como descrito no manual: " Allows TCP traffic
to
> pass if packet use an established connection (for example, has ACK bits
> set)."
>
> Como funciona exatamente? Se eu colocar dessa forma, tudo ok:
access-list 101 permit tcp any any established
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3
Quase todas (sen�o TODAS) as listas CISCO conter�o uma linha como esta. Ela
informa que, uma vez que a conex�o TCP esteja FECHADA, ela pode bypassar a
lista. Como a lista � seguida sequencialmente, isso representa ganho de
performance. Fico feliz que tenha funcionado, mas a n�o ser que voc� esteja
rodando servidores SMTP e POP em TODAS as m�quinas de sua rede, existem 2
regras in�teis a�. O correto ficaria:
access-list 101 permit tcp any any established
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
Se voc� possuir servidor smtp na sua rede, pode acrescentar:
access-list 101 permit tcp any host (endere�o do servidor de e-mail) eq smtp
>
> Mas assim, n�o:
>
> access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp established
> access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp established
> access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 established
> access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 established
Lembre-se que a conex�o TCP passa por v�rios estados at� que ela se
complete. O primeiro estado (SYN) ainda n�o � "established". Logo, o
primeiro pacote n�o atende a nenhuma dessas regras e ele ent�o cai no
"deny". Ora, sem a solicita��o, tamb�m n�o h� resposta do servidor, logo as
regras nunca se aplicam.
Da mesma forma isso (sem o established):
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3
Tamb�m n�o funcionaria, visto que o primeiro pacote passaria (permit), mas o
RETORNO desse pacote N�O contempla nenhuma regra (pois a primeira regra �
correta, diz que deve-se acessar via TCP a porta de SMTP (25) de qualquer
lugar, mas a segunda regra est� ERRADA, pois informa que "qualquer lugar"
pode acessar a porta 25 (SMTP) da SUA rede!)
> in s0
> ip access-group 101 in
> ip access-group 101 out
Est� Ok. A implica��o � que voc� pode usar uma lista para sa�da e outra para
a entrada. No exemplo efetivo acima, basta usar s� no OUT pois voc� quer
"impedir a sa�da".
[]s,
Pina
|
