ня сіг ACL, няма лічыльніка

У нас ёсць некалькі спіс доступу і ўсё паказваючы лічыльнік , каб трапіць, але адзін спіс доступу не паказвае нічога.

C3850#show access-lists 101
Extended IP access list 101
    5 permit ip 101.142.61.0 0.0.0.255 any (7 matches)
    10 deny ip any any fragments
    20 permit ip any any (202593 matches)

Любая ідэя, чаму 10 адмаўляе внутрибрюшинно любой якія-небудзь фрагменты не мае лічыльніка на ім? Я спрабаваў адправіць вялікі пакет, і ён не ўпаў, але не лічыльніка.

1
Хто-небудзь адказ вам дапамагчы? Калі так, то вы павінны прыняць адказ, так што пытанне не трымаць выскокваюць назаўжды, шукае адказ. Акрамя таго, вы можаце паказаць свой уласны адказ і прыняць яго.
дададзена аўтар Ron Maupin, крыніца

1 адказы

(Гэта адбылося на лічбавых люстраных камер у апошні час.)

Гэта звязана з тым, як трафік апрацоўваецца. Паколькі першы фрагмент нясе поўны пласт-4 інфармацыю, ён не апрацоўваецца ў выглядзе фрагмента. Такім чынам, ён будзе адпавядаць правілу 20, і запіс/паток NAT/CEF будзе створаны для яго, і ўсе наступныя фрагменты не будуць праходзіць праз ACL - гэта частка устаноўленага патоку, які ўжо быў правераны. Калі вы не выключыце «рут-кэш» - такім чынам, робячы ўсе пакеты працэсу камутаваныя (вельмі, вельмі дрэнная ідэя) - кожны асобны пакет не перадаецца праз ACL.

3
дададзена
@RonMaupin, толькі таму, што фрагменты заўсёды былі часткай IP не робіць фрагментацыі нармальна ... ёсць некаторыя злыя узломы фрагментацыя IP, якія вы выкарыстоўвалі, каб мець магчымасць адправіць машыну, якая б цалкам заблакаваць яго (вых " Nestea атака »для Linux, або" сляза атака "для вокнаў). А менавіта, Cisco адмаўляецца спальваць фрагментацыю ў СБИС таму што ёсць вельмі шмат выпадкаў адваротнага кута, каб справіцца, і яны баяцца, што яны будуць гарэць у слабыя месцы сістэмы бяспекі ... гэта вельмі лёгка выправіць IOS, чым адправіць камусьці новы маршрутызатар ў стойку
дададзена аўтар Mun, крыніца
На сучасным Інтэрнэце, вы не павінны бачыць фрагменты. Я выкарыстоўваю IP віртуальнай паўторнай зборкі выпадаючыя фрагменты па ўсіх мяжуюць з інтэрнэтам інтэрфейсаў. Калі вы не можаце гаварыць са мной, не вывяргаючы фрагментаў, то мне не трэба пагаварыць з вамі. :-)
дададзена аўтар Neall, крыніца
Ён будзе рабіць тое, што ваш ACL спрабуе зрабіць (мінус лічыльнік.) Гэта парушыць сувязь з кім-небудзь, што абсалютна павінен фрагментаваць трафік, але гэтыя людзі зламаныя і я не хвалюе, што мы не можам гаварыць. (Карацей кажучы, гэта ніколі не выклікае ў мяне праблемы)
дададзена аўтар Neall, крыніца
@Satish, фрагменты ўбудаваны ў ДНК IP з самага пачатку. Проста таму, што Yout сетку атрымлівае фрагменты ад вонкавага боку, не азначае, што нешта не так, ці што хто-то кідае дрэнныя рэчы на ​​вас. RFC 791, Internet Protocol , само вызначэнне IP, Раздзел 1.4. Аперацыя , першы сказ абвяшчае: "<я> Інтэрнэт-пратакол рэалізуе дзве асноўныя функцыі: <б> адрасаванне і фрагментацыю ."
дададзена аўтар Ron Maupin, крыніца
ёсць у любым выпадку я магу ўбачыць любы від лічыльніка, таму што я хачу бачыць лічыльнік, калі хтосьці кідае дзярмо на нашу спасылку так паглядзець, як гэта дрэнна?
дададзена аўтар jim, крыніца
ёсць які-небудзь уплыў, выкарыстоўваючы IP віртуальных паўторнай зборка якія кінулі фрагменты <код /> каманды? Як гэта працуе і падзенне пакет фрагмента?
дададзена аўтар jim, крыніца
Я меў на ўвазе, гэта бяспечна выкарыстоўваць, таму што яна спыніць увесь фрагмент трафіку незалежна ад TCP або UDP .. мы атрымліваем NTP, DNS, IP Chargen Фрагай атаку вялікую частку часу.
дададзена аўтар jim, крыніца