IPtables pravidlá a ACL podľa Cisca (vyřešeno)

Zdravím,

dá sa v iptables zadefinovať v pravidle skupiny adries a portov podobne ako na Cisco ASA? Mám na mysli zložitejšie pravidlo kde je povedzme 10 zdrojových adries, 5 portov a 3 cieľové adresy.

Na Cisco ASA sa vytvoria skupiny Network object group s 10 a troma členmi, Service group s piatimi členmi a pravidlo sa aplikuje jedným príkazom v ACL. Funguje niečo podobné aj pre iptables? Alebo treba definovať pravidlá pre vzťahy každý s každým, teda v tomto prípade cca 150 pravidel? Alebo je nejaký lepší/rýchlejší spôsob?

Ďakujem.

Odpovědi

Sice nevím o co jde a proč 150 pravidel, ale pravidla lze řetězit pomocí chain-ů.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

30.4.2012 18:40 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pretože čo som videl príklady iptables, zdroj, cieľ a služba boli len jeden v pravidle. V príklade v otázke jeden klient potrebuje 5x3 pravidiel, tých klientov je 10. Preto 150 pravidiel.

O tom zoskupovaní do chainov by nebolo niečo bližšie?

Ďakujem.

Řešení 1× (Ján Chrastina (tazatel))

30.4.2012 19:27 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pozor píšu z hlavy a neověřuji :), něco třeba jako:

iptables -N myIP
iptables -A myIP -s ab -j ACCEPT
iptables -A myIP -s cd -j ACCEPT
iptables -A myIP -s ef -j ACCEPT
iptables -A myIP -j RETURN

iptables -N myDPort
iptables -A myDPort --dport AB -j myIP
iptables -A myDPort --dport CD -j myIP
iptables -A myDPort --dport EF -j myIP
iptables -A myDPort -j RETURN

iptables -I INPUT -p tcp -j myDPort
....
....
....
... iptables -A INPUT ...... DROP/REJECT

Fčul jakmile to není jeden z našich třech portů, tak to proleze v řadě pravidel (které zde nejsou předmětem), jakmile to vyhoví jednomu ze tří portů leze to ověřit IP adresy, jakmile vyhoví jedné ze tří je to přijato, pokud ne, zas to normálně valí dál.
Jestli jsem to nějak zmastil, a mě někdo popraví… :)

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

30.4.2012 20:26 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Aha, už rozumiem. Ďakujem.

pomocou ipset + multiport modulu to ide spravit jednym pravidlom v iptables.

30.4.2012 14:52 NN
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Pripadne pokud lze skupiny definovat maskou..

30.4.2012 18:31 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Mám prípad keď klienti sa nedajú zapísať ako jedna maska. Ide povedzme o 5 počítačov rôzne po Európe, 3 servre a 5 portov.

Měl jsem dojem, že i když máte hezky nakonfigurované network objecty, taky stejně vám to ve výsledku ASA naseká na řádky (10x5x3 = 150 řádků) a zabere to kapacitu volných ACL? To abych se podíval, co se v 8.x mění ;-)

Sám bych to v linuxu dělal chainama, větvil přes "-j next_chain" a "-j RETURN".

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.4.2012 20:32 Ján Chrastina | skóre: 4 | blog: Pavuk
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

Komentár pred tebou popísal "-j next_chain" a "-j RETURN" zrozumiteľne.

Inak, zdá sa, že ASA vnútorne vyrobí 150 ACL, dá sa to vidieť pri filtrovaní logu v ASDM.

Za pomoc ďakujem.

30.4.2012 20:52 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: IPtables pravidlá a ACL podľa Cisca

jj, ASA robi 150 ACL - show access-list vs show running-config access-list

Dotaz: IPtables pravidlá a ACL podľa Cisca

Odpovědi