@Andrew1195 сен 2013 в 06:51

Неожиданный финт Cisco ASA

2 мин

32K

Информационная безопасность *

+22

Комментарии 7

@JDima 5 сен 2013 в 07:42

Вот за что я не люблю асы — это за подобную самодеятельность. Например, если в policy nat (<8.3) нечаянно сделать вместо «permit ip» «permit ip», то она не отвергнет запись, а пропишет ее в ACL, но уберет из конфига привязку ACL к NAT. В итоге — кровь и кишки. Про это неплохо написали в virtualbacon.net/2012/04/13/error-ace-contains-port-protocol-or-deny-removing-nat-configuration/. Сам я такого косяка не допускал, но был свидетелем — то еще зрелище. В более ранних версиях сам ACL удалялся.

@JDima 5 сен 2013 в 08:31

Описка, Вместо «permit ip» «permit tcp».

@J_o_k_e_R 5 сен 2013 в 09:34

Я не цисковед, но при исправлении "«permit ip» «permit ip»" фразой «Вместо «permit ip» «permit tcp»», мне кажется требуется указание конкретного «permit ip».

@JDima 5 сен 2013 в 09:36

Короче:

Можно и нужно писать — «permit ip».
Нельзя писать, иначе граблями по лбу: «permit tcp» и тому подобное.

@borisko 5 сен 2013 в 09:38

Видимо, фраза «вместо «permit ip» «permit ip»» превращается в «вместо «permit ip» «permit tcp»».

@de_bill 5 сен 2013 в 07:51

Подтверждаю, как-то однажды столкнулся с таким, но ввиду огромного количества правил и немалых изменений в конфигурации так и не удалось раскопать в чём дело, просто сразу зафиксировали проблемы с натом и заново накатили всю секцию ната. Теперь причина ясна, огромное спасибо!

@Andrew119 5 сен 2013 в 07:53

У нас правил тоже хватало, благо что такое, с any, было одно — посему и удалось как-то это скоррелировать.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий