Xin chào,

Mình muốn hỏi: tại sao lệnh ping lại không bị kiểm tra bởi access-list?

cám ơn,

Ping là cách thức của packet đi dưới dạng ICMP , nên vẫn bị kiểm tra bởi Access-list , cả standard va extend.

Bạn nên kiểm tra lại access-list của mình, hay là bạn post lên đây để mọi người cùng thảo luận.


THÂN

Lệnh Ping vẫn bị ACL check như thường. Vấn đề là bạn có dùng đúng không mà thôi. tớ nghĩ tình huống của bạn thế này: Bạn đặt ACL cấm Ping trên cổng nào đó theo chiều OUTBOUND , rồi từ chính Router đó bạn dùng lệnh Ping thì ACL sẽ không check lệnh ping này. Nguyên nhân chính là bản chất của cách đặt INBOUND hay OUTBOUND. Đặt OUTBOUND thì ACL đó chỉ kiểm tra những gói tin đến Router, qua bảng định tuyến rồi forward đến interface có gán ACL theo chiều OUTBOUND. Còn chính gói tin xuất phát từ Router đó sẽ không bị kiểm tra.
bạn thử lại xem
Thân

Bây giờ thì mình đã hiểu hơn rồi !
Mình sẽ thử lại ngay !
Thanks a lot !

Em phải ping từ host chứ không phải từ router để kiểm tra.
Thân

Hi 1'hpSky,

Nếu dùng lệnh Extended Ping và gán Source IP từ network khác thì mình có thể kiểm tra access-list outbound được không?

Thân,

Ping từ host tức là ping đến 1 interface của router ,trong trường hợp có đặt access-list OUTBOUND thì chắn chắn là ko được rồi !
Vì ( như anh 1'hpSky đã nói ) ACLs sẽ kiểm tra những gói tin đến từ interface khác , qua bảng định tuyến và chuyển ra interface có ACLs OUT.
Nhưng, themask :? , gói tin ICMP trong trường hợp anh đưa ra , em vẫn cứ nghĩ nó là do router tạo ra , dù có gán Source IP từ network khác. Vậy , nó vẫn thoát được ACLs OUT :?: .
Xin anh chỉ giáo thêm ! :idea:

Mình cũng đồng ý với velvetyrose, tuy nhiên mình đang nhờ bạn mình kiểm tra lại bằng Router thật. hy vọng có kết quả sớm.

Thân

Hi velvetyrose, đọc ở đây thử xem, đọc từ dưới lên trên nha ;)


From: nobody@groupstudy.com on behalf of Brian Dennis
[brian@labforge.com]
Sent: Saturday, April 05, 2003 1:11 PM
To: 'Richard Davidson'; 'groupstudy'
Subject: RE: local sourced traffic no matching out bound ACL?

You need to create a local policy and route all packets you want effected by the outbound ACL (i.e. outbound E0/0) out of a loopback interface first. Not a pretty solution but it is a solution. See example
below:


Rack1R1#wr t
<snip>
!
hostname Rack1R1
!
interface Loopback0
ip address 10.11.11.11 255.255.255.255
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 100 out
no ip route-cache
!
ip local policy route-map OutACL
!
access-list 1 permit any
access-list 100 deny ip any any
route-map OutACL permit 10
match ip address 1
set interface Loopback0
!
<snip>
end

Rack1R1#sho ip rout
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.11.11.11/32 is directly connected, Loopback0
C 10.1.1.0/24 is directly connected, Ethernet0/0
R 10.22.22.22/32 [120/1] via 10.1.1.2, 00:00:14, Ethernet0/0
Rack1R1#ping 10.22.22.22

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.22.22.22, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) Rack1R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack1R1(config)#no ip local policy route-map OutACL Rack1R1(config)#^Z Rack1R1#ping 10.22.22.22

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.22.22.22, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms Rack1R1#

Brian Dennis, CCIE #2210 (R&S/ISP-Dial/Security)
Director of CCIE Training and Development -
IPexpert, Inc.
Mailto: brian@ipexpert.net
Toll Free: 866.225.8064
Outside U.S. & Canada: 312.321.6924

-----Original Message-----
From: nobody@groupstudy.com [mailto:nobody@groupstudy.com] On Behalf Of Richard Davidson
Sent: Friday, April 04, 2003 7:36 PM
To: Brian Dennis; 'Richard Davidson'; 'groupstudy'
Subject: RE: local sourced traffic no matching out bound ACL?

Yes, I would love to know how to effect packets
sourced by the router with an acl.
Rich

--- Brian Dennis <brian@5g.net> wrote:
> You are correct in your findings that packets
> sourced by the router are
> not affected by an outbound ACL. If you want packets
> sourced by the
> router to be affected by an outbound ACL let me know
> and I'll show you
> how.
>
> Brian Dennis, CCIE #2210 (R&S/ISP-Dial/Security)
> Director of CCIE Training and Development -
> IPexpert, Inc.
> Mailto: brian@ipexpert.net
> Toll Free: 866.225.8064
> Outside U.S. & Canada: 312.321.6924
>
> -----Original Message-----
> From: nobody@groupstudy.com
> [mailto:nobody@groupstudy.com] On Behalf Of
> Richard Davidson
> Sent: Friday, April 04, 2003 4:47 PM
> To: groupstudy
> Subject: local sourced traffic no matching out bound
> ACL?
>
> If I have an access-list on E0 that denys all
> traffic
> out and the router has an adjacency with a
> neighboring
> ospf router, how does this route stay up. This
> router
> can still ping neighboring devices out of the E0
> interface. Does the router not follow the interface access-list rule?
> I think it does. What do I do to get the router to follow the rules
> of the access-list.
> Any link or explanation would help.
>
> Thanks All.

Như vậy tại original router khi dùng extended ping với source address khác thì kết quả thế nào? Bạn nào có lab kiểm tra lại vấn đề này.
Thanks

cho Phoenix hỏi với:

host A va host B thuộc 2 net khác nhau, đã ping thấy nhau, nhưng khi apply ACL icmp deny source A destination B theo chieu in trên s1 của RouterA (có permit any any) thì hostA không ping tới host B được nữa. Mình nghĩ là đặt ACL theo chiều in thì khi ping từ hostA đến host B nghĩa là theo chiều out thì không có bị deny, vậy phải ping tới được chứ, đằng này không ping được.

Như vậy là sao vậy? mình có hiểu sai không?

Hi,

Nếu Ping một Client nằm trong network gắn trực tiếp vào router, Router sẽ tự động lấy IP của Interface gắn vào network đó làm Source IP vì vậy Accless-list sẽ không tác động.
Tuy nhiên khi dùng Extended Ping, lấy Source IP từ một Interface khắc thì Router sẽ thực hiện chức năng định tuyến (Routing) đồng thời sẽ apply access-list để kiểm tra các gói tin khi Switching.

Themask vẫn thường hay dùng cách này để thử khi Config Routing, với access-list themask sẽ thử và post kết quả lên đây cho mọi người cùng tham khảo.

Thân.

Hi

Phoenix post cấu hình và sơ đồ lên đây để mọi người cùng xem.
Để Ping thành công thì các gói tin ICMP từ nguồn (Pinging Client) phải đi được tới đích (Pinged Client) và ngược lại.

Các access control list chỉ tác động cho các traffic đi xuyên qua nó chứ không tác động đên các traffic xuất phát từ bản thân các router đó. Do đó với cách thử nghiệm acl bằng cách ping từ chính router áp đặt ACL thì sẽ không thấy tác dụng.

Để thực sự kiểm tra được tác động của ACL, có hai cách:

- Dùng phép thử ping từ một máy trạm nằm trong một phân đoạn mạng bị so trùng với địa chỉ mạng được chỉ ra trong ACL
- Dùng phép thử ping mở rộng (êxtended ping).