HP 2530 48G -управляющий коммутатор

@Kimsanov · Регистрация: 15.11.2016

Author24 — интернет-сервис помощи студентам

Разрешить узлам (192.168.0.2 и 192.168.0.3) доступ к сети через определенный порт к компьютеру (192.168.0.10) , возможно ли это ? Хочу разрешить конкретный узлам доступ к компьютеру через порт свича, через access list попробовал, назначил эту политику к порту не работает.

access list 1 permit host 192.168.0.2 192.168.0.10
access list 1 permit host 192.168.0.3 192.168.0.10
access list 1 deny any any

interface ethernet 24
ip access group 1 in

?

@AuSKY · 12.04.2017, 09:06

Если 24й порт это порт до 192.168.0.10, то разрешаешь (в листах 192.168.0.10 можно заменить на any):
от 192.168.0.10 до 192.168.0.2
от 192.168.0.10 до 192.168.0.3
блокируешь:
от 192.168.0.10 до any

Ну и должно работать

@Kimsanov · 12.04.2017, 09:23 **[ТС]**

Может напишешь в виде список доступа. Не понятно ! Спасибо

@AuSKY · 12.04.2017, 09:34

Как-то так, судя по первому посту (HP у меня нет, в синтаксисе не уверен):

access list 1 permit any host 192.168.0.2
access list 1 permit any host 192.168.0.3
access list 1 deny any any

@Kimsanov · 12.04.2017, 12:01 **[ТС]**

Спасибо, а если еще добавить в этой политики доступ к этим узлам по протоколам (например разрешить только удаленный доступ),

Добавлено через 18 минут
т.е. добавить в этой политики доступ к этому узлу по протоколам (например разрешить только удаленный доступ двум узлам),

@Kimsanov · 14.04.2017, 11:00 **[ТС]**

Привет Всем, почтовому серверу (находится на порту свича - 38) написал такую политику, но сервер перестает быть в сети, в чем проблема? вот то, что я написал:

access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any any eq http
access-list 102 permit tcp any any eq dns
access-list 102 deny tcp any any
interface ethernet 38
ip access-group 102 in

Спасибо,

Добавлено через 1 час 50 минут
дальше написав такую политику

access-list 102 permit tcp any eq http any
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq 8080 any

почтовый сервер работает, но отправить письма к другим серверам не получается, отправляет только между собой. в чем проблема ?

@insect_87 · 14.04.2017, 20:21

вот смотри, во-первых, правила в access-list'ах читаются сверху вниз, по порядку, в конце списка негласно добавляется deny ip any any.
во-вторых, сначала в правиле пишется адрес и порт источника, потом указывается адрес и порт назначения.
в-третьих, когда access-list применяется на интерфейс с in - то это анализируется свитчем как входящий трафик в свитч на этот интерфейс (в данном случае интерфейс порта), когда access-list применяется на интерфейс с out - как исходящий с этого интерфейса свитча.
подробно тут

________________________________________________________________________________ __________________________
если твой сервер выступает в роли почтового клиента, то он первым инициирует соединение и отправляет пакет на ip-адрес другого почтового сервера и порт 25 (общеизвестный) по протоколу tcp, а в качестве адреса источника указывает свой адрес и незанятый порт из диапазона динамических портов, я подчеркиваю, из диапазона динамических портов, который он запрашивает у системы.

https://ru.wikibooks.org/wiki/TCP/IP
https://ru.wikipedia.org/wiki/... %D0%B8_UDP

то есть на порт свитча 38, где будет проверяться ACL, придет пакет с адресом источника IP1, портом источника >1024 (если на клиенте ОС Windows) на адрес назначения IP2 и порт назначения 25.
а у тебя в правиле разрешены пакеты от порта источника только 80, 25, 110, 8080, соответственно твой пакет не попадет ни под одно разрешающее правило из:

access-list 102 permit tcp any eq http any
access-list 102 permit tcp any eq smtp any
access-list 102 permit tcp any eq pop3 any
access-list 102 permit tcp any eq 8080 any

, а попадет под последнее негласное deny ip any any, соответственно соединение с другим сервером твой сервер не установит, даже первый пакет дальше свитча не уйдет.

________________________________________________________________________________ ___________________________
по листу:

Сообщение от Kimsanov

access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any any eq http
access-list 102 permit tcp any any eq dns
access-list 102 deny tcp any any

все с точностью до наоборот, сначала клиент отошлет пакет твоему серверу на порт назначения 25 с динамическим портом в качестве порта источника, этот пакет на порту свитча проверяться не будет (так как он out, а не in) и соответственно он дойдет до сервера, твой сервер отвечает клиенту и начинает отправлять пакет с порта источника 25 на динамический порт клиента (порт назначения), этот пакет попадет под access-list 102 deny tcp any any и дропнется.
________________________________________________________________________________ _______________________

Kimsanov, все ли понятно стало? попытался разжевать подробно, как работает пакетный файрволл, написал много, но надеюсь понятно.....

@Kimsanov · 17.04.2017, 13:28 **[ТС]**

Спасибо, получилось добавил порт IMAP4

10 permit tcp 0.0.0.0 255.255.255.255 eq 80 0.0.0.0 255.255.255.255
20 permit tcp 0.0.0.0 255.255.255.255 eq 25 0.0.0.0 255.255.255.255
30 permit tcp 0.0.0.0 255.255.255.255 eq 585 0.0.0.0 255.255.255.255
40 permit tcp 0.0.0.0 255.255.255.255 eq 110 0.0.0.0 255.255.255.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

@Kimsanov · 20.04.2017, 06:56 **[ТС]**

Ошибся нет не получилось ,

Добавлено через 2 минуты
Дело в том, что может быть в этом заключается проблема на свиче когда прописываешь access list к порту - можео выбрать только - in , а вот - out отсутствует. Как быть ?

Добавлено через 1 минуту
Может быть просто закрыть не нужные порты для работоспособности сервера , а какие не знаю

@insect_87 · 23.04.2017, 01:09

Kimsanov, Kimsanov, что ты именно хочешь? поясни подробнее......

Сообщение от Kimsanov

Дело в том, что может быть в этом заключается проблема на свиче когда прописываешь access list к порту - можео выбрать только - in , а вот - out отсутствует. Как быть ?

зайди в настройки какого-нибудь int
и покажи вывод

Код

ip access-group [номер_ACL] ?

@Kimsanov · 23.04.2017, 02:34 **[ТС]**

S1(eth-4)# ip access-group 101
in Match inbound packets

@insect_87 · 23.04.2017, 11:31

Kimsanov, ну можно все и на in построить, задача какая? откуда, куда и что лочить? что куда подключено?

Не по теме:

а может стоит и прошивку обновить? я просто этот свитч не крутил, но при отсутствии заявленных фич на enterprise свитчах huawei мне часто приходилось обновлять прошивку

@Kimsanov · 24.04.2017, 06:45 **[ТС]**

Задача, есть почтовый сервер, который подключен к порту свича, разрешить ему только по соответствующими протоколами (POP3, smtp), другие закрыть. Политика то что сверху, почтовый сервер работал внутри сети, а на другие сервера (интернет) не мог отправлять почту. Вот и все.

@insect_87 · 24.04.2017, 08:02

Сообщение от Kimsanov

который подключен к порту свича, разрешить ему только по соответствующими протоколами (POP3, smtp), другие закрыть.

на порт, к которому подключен сервер, повесить правило на in

Код

access-list 102 permit tcp host server_ip_address eq pop3 any 
access-list 102 permit tcp host server_ip_address eq smtp any 
access-list 102 deny ip any any

@Kimsanov · 24.04.2017, 08:34 **[ТС]**

Такая же ситуация почта не выходит за пределом локалки. только между собой внешне не выходит .

Добавлено через 11 минут
Может быть так как оно подключено в интернете, дать добавить доступ порту 80. достаточно ?

@insect_87 · 24.04.2017, 08:49

так ты объясни, этот внутренний сервер должен еще и сам к внешним серверам обращаться?
если так, то лист другой будет

Код

access-list 102 permit tcp host server_ip_address eq pop3 any 
access-list 102 permit tcp host server_ip_address eq smtp any 
access-list 102 permit tcp host server_ip_address any eq pop3
access-list 102 permit tcp host server_ip_address any eq smtp
access-list 102 deny ip any any

@Kimsanov · 24.04.2017, 09:35 **[ТС]**

До этого отправлял письмо с аутлука (оно там настроена) была ошибка, а сейчас оно отправляется (например mail.ru) но исчезает (т.е. не доходит).

Добавлено через 31 минуту
а может IMAP тоже разрешить ?

@insect_87 · 24.04.2017, 10:05

Сообщение от Kimsanov

а может IMAP тоже разрешить ?

разреши.
POP3 - TCP 110 995
IMAP - TCP 143 993
SMTP - TCP 25 587 465

итого имеем:

Код

access-list 102 permit tcp host server_ip_address eq 110 any 
access-list 102 permit tcp host server_ip_address eq 995 any 
access-list 102 permit tcp host server_ip_address eq 143 any 
access-list 102 permit tcp host server_ip_address eq 993 any 
access-list 102 permit tcp host server_ip_address eq 25 any 
access-list 102 permit tcp host server_ip_address eq 587 any 
access-list 102 permit tcp host server_ip_address eq 465 any 
access-list 102 permit tcp host server_ip_address any eq 110
access-list 102 permit tcp host server_ip_address any eq 995
access-list 102 permit tcp host server_ip_address any eq 143
access-list 102 permit tcp host server_ip_address any eq 993
access-list 102 permit tcp host server_ip_address any eq 25
access-list 102 permit tcp host server_ip_address any eq 587
access-list 102 permit tcp host server_ip_address any eq 465
access-list 102 deny ip any any

и к нему как к серверу по всем почтовым протоколам и портам доступ есть,
и он как клиент ко всем внешним серверам по всем почтовым протоколам и портам доступ имеет.

@Kimsanov · 24.04.2017, 13:27 **[ТС]**

Такая же ситуация - ко внешним серверам не обращается (может DNS добавить/разрешить)

@insect_87 · 24.04.2017, 14:28

если ты прописываешь адрес внешних серверов dns-именем, то конечно

Код

access-list 102 permit tcp host server_ip_address eq 110 any 
access-list 102 permit tcp host server_ip_address eq 995 any 
access-list 102 permit tcp host server_ip_address eq 143 any 
access-list 102 permit tcp host server_ip_address eq 993 any 
access-list 102 permit tcp host server_ip_address eq 25 any 
access-list 102 permit tcp host server_ip_address eq 587 any 
access-list 102 permit tcp host server_ip_address eq 465 any 
access-list 102 permit tcp host server_ip_address any eq 110
access-list 102 permit tcp host server_ip_address any eq 995
access-list 102 permit tcp host server_ip_address any eq 143
access-list 102 permit tcp host server_ip_address any eq 993
access-list 102 permit tcp host server_ip_address any eq 25
access-list 102 permit tcp host server_ip_address any eq 587
access-list 102 permit tcp host server_ip_address any eq 465
access-list 102 permit tcp host server_ip_address any eq 53
access-list 102 deny ip any any

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
		1
	HP 2530 48G -управляющий коммутатор 12.04.2017, 06:12. Показов 1865. Ответов 22 Метки нет (Все метки) Разрешить узлам (192.168.0.2 и 192.168.0.3) доступ к сети через определенный порт к компьютеру (192.168.0.10) , возможно ли это ? Хочу разрешить конкретный узлам доступ к компьютеру через порт свича, через access list попробовал, назначил эту политику к порту не работает. access list 1 permit host 192.168.0.2 192.168.0.10 access list 1 permit host 192.168.0.3 192.168.0.10 access list 1 deny any any interface ethernet 24 ip access group 1 in ? 0

@AuSKY 17 / 17 / 3 Регистрация: 21.12.2016 Сообщений: 105
	12.04.2017, 09:06	2
	Если 24й порт это порт до 192.168.0.10, то разрешаешь (в листах 192.168.0.10 можно заменить на any): от 192.168.0.10 до 192.168.0.2 от 192.168.0.10 до 192.168.0.3 блокируешь: от 192.168.0.10 до any Ну и должно работать 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	12.04.2017, 09:23 [ТС]	3
	Может напишешь в виде список доступа. Не понятно ! Спасибо 0

@AuSKY 17 / 17 / 3 Регистрация: 21.12.2016 Сообщений: 105
	12.04.2017, 09:34	4
	Как-то так, судя по первому посту (HP у меня нет, в синтаксисе не уверен): access list 1 permit any host 192.168.0.2 access list 1 permit any host 192.168.0.3 access list 1 deny any any 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	12.04.2017, 12:01 [ТС]	5
	Спасибо, а если еще добавить в этой политики доступ к этим узлам по протоколам (например разрешить только удаленный доступ), Добавлено через 18 минут т.е. добавить в этой политики доступ к этому узлу по протоколам (например разрешить только удаленный доступ двум узлам), 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	14.04.2017, 11:00 [ТС]	6
	Привет Всем, почтовому серверу (находится на порту свича - 38) написал такую политику, но сервер перестает быть в сети, в чем проблема? вот то, что я написал: access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq http access-list 102 permit tcp any any eq dns access-list 102 deny tcp any any interface ethernet 38 ip access-group 102 in Спасибо, Добавлено через 1 час 50 минут дальше написав такую политику access-list 102 permit tcp any eq http any access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq 8080 any почтовый сервер работает, но отправить письма к другим серверам не получается, отправляет только между собой. в чем проблема ? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	14.04.2017, 20:21	7
	вот смотри, во-первых, правила в access-list'ах читаются сверху вниз, по порядку, в конце списка негласно добавляется deny ip any any. во-вторых, сначала в правиле пишется адрес и порт источника, потом указывается адрес и порт назначения. в-третьих, когда access-list применяется на интерфейс с in - то это анализируется свитчем как входящий трафик в свитч на этот интерфейс (в данном случае интерфейс порта), когда access-list применяется на интерфейс с out - как исходящий с этого интерфейса свитча. подробно тут ________________________________________________________________________________ __________________________ если твой сервер выступает в роли почтового клиента, то он первым инициирует соединение и отправляет пакет на ip-адрес другого почтового сервера и порт 25 (общеизвестный) по протоколу tcp, а в качестве адреса источника указывает свой адрес и незанятый порт из диапазона динамических портов, я подчеркиваю, из диапазона динамических портов, который он запрашивает у системы. https://ru.wikibooks.org/wiki/TCP/IP https://ru.wikipedia.org/wiki/... %D0%B8_UDP то есть на порт свитча 38, где будет проверяться ACL, придет пакет с адресом источника IP1, портом источника >1024 (если на клиенте ОС Windows) на адрес назначения IP2 и порт назначения 25. а у тебя в правиле разрешены пакеты от порта источника только 80, 25, 110, 8080, соответственно твой пакет не попадет ни под одно разрешающее правило из: access-list 102 permit tcp any eq http any access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq 8080 any , а попадет под последнее негласное deny ip any any, соответственно соединение с другим сервером твой сервер не установит, даже первый пакет дальше свитча не уйдет. ________________________________________________________________________________ ___________________________ по листу: Сообщение от Kimsanov access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq http access-list 102 permit tcp any any eq dns access-list 102 deny tcp any any все с точностью до наоборот, сначала клиент отошлет пакет твоему серверу на порт назначения 25 с динамическим портом в качестве порта источника, этот пакет на порту свитча проверяться не будет (так как он out, а не in) и соответственно он дойдет до сервера, твой сервер отвечает клиенту и начинает отправлять пакет с порта источника 25 на динамический порт клиента (порт назначения), этот пакет попадет под access-list 102 deny tcp any any и дропнется. ________________________________________________________________________________ _______________________ Kimsanov, все ли понятно стало? попытался разжевать подробно, как работает пакетный файрволл, написал много, но надеюсь понятно..... 1

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	17.04.2017, 13:28 [ТС]	8
	Спасибо, получилось добавил порт IMAP4 10 permit tcp 0.0.0.0 255.255.255.255 eq 80 0.0.0.0 255.255.255.255 20 permit tcp 0.0.0.0 255.255.255.255 eq 25 0.0.0.0 255.255.255.255 30 permit tcp 0.0.0.0 255.255.255.255 eq 585 0.0.0.0 255.255.255.255 40 permit tcp 0.0.0.0 255.255.255.255 eq 110 0.0.0.0 255.255.255.255 50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	20.04.2017, 06:56 [ТС]	9
	Ошибся нет не получилось , Добавлено через 2 минуты Дело в том, что может быть в этом заключается проблема на свиче когда прописываешь access list к порту - можео выбрать только - in , а вот - out отсутствует. Как быть ? Добавлено через 1 минуту Может быть просто закрыть не нужные порты для работоспособности сервера , а какие не знаю 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	23.04.2017, 01:09	10
	Kimsanov, Kimsanov, что ты именно хочешь? поясни подробнее...... Сообщение от Kimsanov Дело в том, что может быть в этом заключается проблема на свиче когда прописываешь access list к порту - можео выбрать только - in , а вот - out отсутствует. Как быть ? зайди в настройки какого-нибудь int и покажи вывод Код ip access-group [номер_ACL] ? 0

	24.04.2017, 14:28

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	23.04.2017, 02:34 [ТС]	11
	S1(eth-4)# ip access-group 101 in Match inbound packets 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	23.04.2017, 11:31	12
	Kimsanov, ну можно все и на in построить, задача какая? откуда, куда и что лочить? что куда подключено? Не по теме: а может стоит и прошивку обновить? я просто этот свитч не крутил, но при отсутствии заявленных фич на enterprise свитчах huawei мне часто приходилось обновлять прошивку 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	24.04.2017, 06:45 [ТС]	13
	Задача, есть почтовый сервер, который подключен к порту свича, разрешить ему только по соответствующими протоколами (POP3, smtp), другие закрыть. Политика то что сверху, почтовый сервер работал внутри сети, а на другие сервера (интернет) не мог отправлять почту. Вот и все. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	24.04.2017, 08:02	14
	Сообщение от Kimsanov который подключен к порту свича, разрешить ему только по соответствующими протоколами (POP3, smtp), другие закрыть. на порт, к которому подключен сервер, повесить правило на in Код access-list 102 permit tcp host server_ip_address eq pop3 any access-list 102 permit tcp host server_ip_address eq smtp any access-list 102 deny ip any any 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	24.04.2017, 08:34 [ТС]	15
	Такая же ситуация почта не выходит за пределом локалки. только между собой внешне не выходит . Добавлено через 11 минут Может быть так как оно подключено в интернете, дать добавить доступ порту 80. достаточно ? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	24.04.2017, 08:49	16
	так ты объясни, этот внутренний сервер должен еще и сам к внешним серверам обращаться? если так, то лист другой будет Код access-list 102 permit tcp host server_ip_address eq pop3 any access-list 102 permit tcp host server_ip_address eq smtp any access-list 102 permit tcp host server_ip_address any eq pop3 access-list 102 permit tcp host server_ip_address any eq smtp access-list 102 deny ip any any 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	24.04.2017, 09:35 [ТС]	17
	До этого отправлял письмо с аутлука (оно там настроена) была ошибка, а сейчас оно отправляется (например mail.ru) но исчезает (т.е. не доходит). Добавлено через 31 минуту а может IMAP тоже разрешить ? 0

@Kimsanov 0 / 0 / 1 Регистрация: 15.11.2016 Сообщений: 57
	24.04.2017, 13:27 [ТС]	19
	Такая же ситуация - ко внешним серверам не обращается (может DNS добавить/разрешить) 0