[ml] access list su interfaccia su cui termina una VPN si applica anche

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2006 ml@sikurezza.org
Soggetto: [ml] access list su interfaccia su cui termina una VPN si applica anche ai pkt interni?
Mittente: Bebe
Data: Fri, 25 Aug 2006 11:40:59 +0200 (CEST)

Ciao a tutti,

scusate per la lunghezza ma ho una domanda su access list e vpn un poâ articolata: ho dovuto configurare un'access list come quella riportata sotto in direzione inward su un interfaccia esterna di un router per accedere temporaneamente ad una macchina interna in terminal server (c'e' un NAT statico della 3389 dall'interfaccia esterna verso un IP privato interno) Gli IP privati interni sono sulla rete 192.168.1.10/255.255.255.0 e il router e' un cisco 837 con IOS 12.3 (precisamente l'immagine e' c837-k9o3y6-mz.123-2.XC2.bin).

ip access-list extended telemanutenzione
permit tcp host (unico_host_abilitato) any eq 3389
deny tcp any any eq 3389 log-input
permit ip any any

Normalmente le macchine interne venivano accedute in terminal server da una LAN remota con indirizzo 192.168.2.0/255.255.255.0 collegata alla LAN 192.168.1.0 attraverso una VPN IPSec LAN-to-LAN che ha sempre funzionato bene, ma nel momento in cui ho messo su l'access list queste connessioni hanno smesso di funzionare. Guardando nei log mi sono accorto che le connessioni dalla LAN remota venivano rifiutate poiche' fanno match con la riga "deny tcp any any eq 3389 log-input" dell'access list. Sembrerebbe quindi che anche i pacchetti "interni" del tunnel vpn vengano filtrati attraverso l'access list impostata in direzione "in " sull'interfaccia su cui e' terminato il tunnel VPN, cio' e' confermato anche dal fatto che modificando l'access-list come segue le connessioni funzionano di nuovo.

ip access-list extended telemanutenzione
permit tcp 192.168.2.0 0.0.0.255 any eq 3389
permit tcp host (unico_host_abilitato) any eq 3389
deny tcp any any eq 3389 log-input
permit ip any any

Volevo capire se questo e' un comportamento che anche voi avete verificato e se, in base alla vostra esperienza, e' possibile configurare il tutto in modo tale che i pacchetti "interni" del tunnel IPSec non siano filtrati tramite l'access list applicata sull'interfaccia su cui e' terminata la VPN. Mi aspettavo infatti che unâ access-list come la mia fosse applicata solo al pacchetto "esterno" del tunnel e i pacchetti interni fossero filtrati solo da unâ eventuale access-list applicata in output sull'interfaccia verso la LAN interna.

Gabriele

Data:
- precedente: [ml] IBM to Acquire Internet Security Systems, Gaetano Zappulla
- successivo: Re: [ml] Load Balncing Predictor, Daniele Besana
- indice

Argomento:
- precedente: [ml] IBM to Acquire Internet Security Systems, Gaetano Zappulla
- successivo: [ml] Attacco alla rete Tor, Marco A. Calamari
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005