Hi, я брежу?! - FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out #sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :) Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S. Any comments? Спасибо. /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Mar 14, 2005 at 02:09:51PM +0100, Vladimir Litovka (vlitovka) wrote: VLv>Hi, VLv>я брежу?! - VLv>FastEthernet3/0/0 is up, line protocol is up VLv> Internet address is A.A.A.A/24 VLv>[ ... ] VLv> Outgoing access list is fw-out VLv>#sh ip access-lists fw-out VLv>Extended IP access list fw-out VLv> permit icmp host A.A.A.A any log VLv> permit ip any any VLv>попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :) VLv>Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S. VLv>Any comments? VLv>Спасибо. 1. traceroute - udp - если ты целился в log 2. насколько я помню local generated пакеты НЕ попадают под out acl - фича -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Пиво измеряется не в градусах, а в литрах. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Mar 14, 2005 at 03:27:33PM +0200, Alexander Trotsai wrote:
VLv>FastEthernet3/0/0 is up, line protocol is up VLv> Internet address is A.A.A.A/24 VLv>[ ... ] VLv> Outgoing access list is fw-out
VLv>#sh ip access-lists fw-out VLv>Extended IP access list fw-out VLv> permit icmp host A.A.A.A any log VLv> permit ip any any VLv>попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :) VLv>Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S. VLv>Any comments? VLv>Спасибо.
1. traceroute - udp - если ты целился в log
Кстати it depends. Оригинальный BSD traceroute - udp, нынешний M$ - ICMP, тот, что в FBSD - может быть на выбор ICMP/UDP/TCP/GRE. Кошкин - udp.
2. насколько я помню local generated пакеты НЕ попадают под out acl - фича
Точно. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Святое дело. От себя в лист Fиг чего попадет. А на некоторых версиях (некоторые ветки 12.0 для 75ХХ как я помню этим страдают) и в правилах для транзита не увидишь счетчиков. -- AO618-RIPE
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Vladimir Litovka (vlitovka) Sent: Monday, March 14, 2005 3:10 PM To: uanog@uanog.kiev.ua Subject: [uanog] what the e2fsck'ing?
Hi,
я брежу?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :)
Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S.
Any comments?
Спасибо.
/doka
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Have a look on _source_ IP-address that your packets are generated with :))) Yes, you are right, you must check a source IPs in such situation (if traffic is generated inside the router). Do you have console whether telnet-connection to the router? Btw, my words touch _any_ network device, not Cisco's one.
Hi,
Ñ ÂÒÅÖÕ?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
ÐÏÐÙÔËÁ ÔÒÅÊÓÒÁÕÔÉÔØ Ó ÜÔÏÇÏ ÍÁÒÛÒÕÔÉÚÁÔÏÒÁ ÎÁ ×ÎÅÛÎÉÊ ÍÉÒ ÎÉËÁË ÎÅ ÏÔÒÁÖÁÅÔÓÑ ÎÉ × matches ËÏÍÁÎÄÙ show, ÎÉ × ÌÏÇÁÈ. üÔÏ ËÁÓÁÅÔÓÑ ×ÓÑËÏÇÏ ÔÒÁÆÉËÁ, ÐÏÒÏÖÄÅÎÎÏÇÏ _×ÎÕÔÒÉ_ ÍÁÒÛÒÕÔÉÚÁÔÏÒÁ? óÏÂÓÔ×ÅÎÎÏ, ÎÁÞÁÌÏÓØ ×ÓÅ Ó ÐÏÐÙÔËÉ ÎÁÓÔÒÏÉÔØ ÒÅÆÌÅËÓÉ×ÎÙÊ ACL... ÞÔÏ-ÔÏ Õ ÍÅÎÑ × ÇÏÌÏ×Å ËÒÕÔÉÔÓÑ ËÁËÏÅ-ÔÏ ×ÏÓÐÏÍÉÎÁÎÉÅ Ï ÔÏÍ, ÞÔÏ ÔÁËÏÊ ÔÒÁÆÉË ÏÂÒÁÂÁÔÙ×ÁÅÔÓÑ Ó ÏÓÏÂÅÎÎÏÓÔÑÍÉ, ÎÏ ÎÅ ÎÁÓÔÏÌØËÏ ÖÅ, ÞÔÏÂÙ × outgoing access-list'ÁÈ ÎÅ ÍÁÔÞÉÔØÓÑ! :)
ìÁÄÎÏ, ÉÄÅÍ ÄÁÌØÛÅ... ÷ÓÑËÏ ÂÙ×ÁÅÔ - ÏÔËÌÀÞÉÌ CEF. Same shit, different day... óÍÅÈÁ ÒÁÄÉ ÓÍÅÎÉÌ permit icmp ÎÁ deny icmp - ÎÉ ÆÉÇÁ ÎÅ ÄÅÎÁÉÔÓÑ, ÔÒÅÊÓ ÒÁÂÏÔÁÅÔ. 75-Ñ ÐÌÁÔÆÏÒÍÁ, 12.0(29)S.
Any comments?
óÐÁÓÉÂÏ.
/doka
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards, Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Mon, Mar 14, 2005 at 03:29:30PM +0200, Oleh Hrynchuk wrote:
Have a look on _source_ IP-address that your packets are generated with :))) Yes, you are right, you must check a source IPs in such situation (if traffic is generated inside the router). Do you have console whether telnet-connection to the router?
Btw, my words touch _any_ network device, not Cisco's one.
А? Об этом, что ли? [d@e]~# ipfw zero 1 Entry 1 cleared [d@e]~# ping -c2 -q 10.1.3.2 PING 10.1.3.2 (10.1.3.2): 56 data bytes --- 10.1.3.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.653/0.657/0.661/0.004 ms [d@e]~# ipfw sh 1 00001 2 168 count icmp from any to any out xmit vlan3 [d@e]~#route -n get 10.1.3.2 route to: 10.1.3.2 destination: 10.1.3.2 interface: vlan3
Hi,
я брежу?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :)
Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S.
Any comments?
Спасибо.
/doka
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
===================================================================
-- NO37-RIPE
No, I told about different SRC IPs. For example if you have "telnetted" to router from one interface and are trying to ping outside world then SRC IP of outgoing packets in this case will be IP of interface you come in router from, not "outgoing" one.
[d@e]~# ipfw zero 1 Entry 1 cleared [d@e]~# ping -c2 -q 10.1.3.2 PING 10.1.3.2 (10.1.3.2): 56 data bytes
--- 10.1.3.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.653/0.657/0.661/0.004 ms [d@e]~# ipfw sh 1 00001 2 168 count icmp from any to any out xmit vlan3 [d@e]~#route -n get 10.1.3.2 route to: 10.1.3.2 destination: 10.1.3.2 interface: vlan3
Hi,
Ñ ÂÒÅÖÕ?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
ÐÏÐÙÔËÁ ÔÒÅÊÓÒÁÕÔÉÔØ Ó ÜÔÏÇÏ ÍÁÒÛÒÕÔÉÚÁÔÏÒÁ ÎÁ ×ÎÅÛÎÉÊ ÍÉÒ ÎÉËÁË ÎÅ ÏÔÒÁÖÁÅÔÓÑ ÎÉ × matches ËÏÍÁÎÄÙ show, ÎÉ × ÌÏÇÁÈ. üÔÏ ËÁÓÁÅÔÓÑ ×ÓÑËÏÇÏ ÔÒÁÆÉËÁ, ÐÏÒÏÖÄÅÎÎÏÇÏ _×ÎÕÔÒÉ_ ÍÁÒÛÒÕÔÉÚÁÔÏÒÁ? óÏÂÓÔ×ÅÎÎÏ, ÎÁÞÁÌÏÓØ ×ÓÅ Ó ÐÏÐÙÔËÉ ÎÁÓÔÒÏÉÔØ ÒÅÆÌÅËÓÉ×ÎÙÊ ACL... ÞÔÏ-ÔÏ Õ ÍÅÎÑ × ÇÏÌÏ×Å ËÒÕÔÉÔÓÑ ËÁËÏÅ-ÔÏ ×ÏÓÐÏÍÉÎÁÎÉÅ Ï ÔÏÍ, ÞÔÏ ÔÁËÏÊ ÔÒÁÆÉË ÏÂÒÁÂÁÔÙ×ÁÅÔÓÑ Ó ÏÓÏÂÅÎÎÏÓÔÑÍÉ, ÎÏ ÎÅ ÎÁÓÔÏÌØËÏ ÖÅ, ÞÔÏÂÙ × outgoing access-list'ÁÈ ÎÅ ÍÁÔÞÉÔØÓÑ! :)
ìÁÄÎÏ, ÉÄÅÍ ÄÁÌØÛÅ... ÷ÓÑËÏ ÂÙ×ÁÅÔ - ÏÔËÌÀÞÉÌ CEF. Same shit, different day... óÍÅÈÁ ÒÁÄÉ ÓÍÅÎÉÌ permit icmp ÎÁ deny icmp - ÎÉ ÆÉÇÁ ÎÅ ÄÅÎÁÉÔÓÑ, ÔÒÅÊÓ ÒÁÂÏÔÁÅÔ. 75-Ñ ÐÌÁÔÆÏÒÍÁ, 12.0(29)S.
Any comments?
óÐÁÓÉÂÏ.
/doka
==================================================================> > uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
=================================================================--
NO37-RIPE
-- Regards, Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Hello ! AFAIK, ICMP ping packets, originated from Cisco router running IOS, will be sourced from primary IP address of egress interface. P.S. Is it necessary to use English here ? I am quite sure that everybody in list knows Russian and/or Ukrainian. Better than English at least. :) On Mon, Mar 14, 2005 at 04:31:14PM +0200, Oleh Hrynchuk wrote:
No, I told about different SRC IPs. For example if you have "telnetted" to router from one interface and are trying to ping outside world then SRC IP of outgoing packets in this case will be IP of interface you come in router from, not "outgoing" one.
[d@e]~# ipfw zero 1 Entry 1 cleared [d@e]~# ping -c2 -q 10.1.3.2 PING 10.1.3.2 (10.1.3.2): 56 data bytes
--- 10.1.3.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.653/0.657/0.661/0.004 ms [d@e]~# ipfw sh 1 00001 2 168 count icmp from any to any out xmit vlan3 [d@e]~#route -n get 10.1.3.2 route to: 10.1.3.2 destination: 10.1.3.2 interface: vlan3
Hi,
? ??????! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
??????? ???????????? ? ????? ?????????????? ?? ??????? ??? ????? ?? ?????????? ?? ? matches ??????? show, ?? ? ?????. ??? ???????? ??????? ???????, ???????????? _??????_ ??????????????? ??????????, ???????? ??? ? ??????? ????????? ???????????? ACL... ???-?? ? ???? ? ?????? ???????? ?????-?? ???????????? ? ???, ??? ????? ?????? ?????????????? ? ?????????????, ?? ?? ????????? ??, ????? ? outgoing access-list'?? ?? ?????????! :)
?????, ???? ??????... ÷???? ?????? - ???????? CEF. Same shit, different day... ????? ???? ?????? permit icmp ?? deny icmp - ?? ???? ?? ????????, ????? ????????. 75-? ?????????, 12.0(29)S.
Any comments?
???????.
/doka
==================================================================> > uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
=================================================================--
NO37-RIPE
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- S/Y, Alexander, MD, nic-hdl: AJP1-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
It does not matter. Please, continue your discussion. It's very interesting. У Пнд, 2005-03-14 у 19:52 +0200, Oleksandr Pantus пише:
Hello !
AFAIK, ICMP ping packets, originated from Cisco router running IOS, will be sourced from primary IP address of egress interface.
P.S. Is it necessary to use English here ? I am quite sure that everybody in list knows Russian and/or Ukrainian. Better than English at least. :)
On Mon, Mar 14, 2005 at 04:31:14PM +0200, Oleh Hrynchuk wrote:
No, I told about different SRC IPs. For example if you have "telnetted" to router from one interface and are trying to ping outside world then SRC IP of outgoing packets in this case will be IP of interface you come in router from, not "outgoing" one.
[d@e]~# ipfw zero 1 Entry 1 cleared [d@e]~# ping -c2 -q 10.1.3.2 PING 10.1.3.2 (10.1.3.2): 56 data bytes
--- 10.1.3.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.653/0.657/0.661/0.004 ms [d@e]~# ipfw sh 1 00001 2 168 count icmp from any to any out xmit vlan3 [d@e]~#route -n get 10.1.3.2 route to: 10.1.3.2 destination: 10.1.3.2 interface: vlan3
Hi,
? ??????! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
??????? ???????????? ? ????? ?????????????? ?? ??????? ??? ????? ?? ?????????? ?? ? matches ??????? show, ?? ? ?????. ??? ???????? ??????? ???????, ???????????? _??????_ ??????????????? ??????????, ???????? ??? ? ??????? ????????? ???????????? ACL... ???-?? ? ???? ? ?????? ???????? ?????-?? ???????????? ? ???, ??? ????? ?????? ?????????????? ? ?????????????, ?? ?? ????????? ??, ????? ? outgoing access-list'?? ?? ?????????! :)
?????, ???? ??????... ÷???? ?????? - ???????? CEF. Same shit, different day... ????? ???? ?????? permit icmp ?? deny icmp - ?? ???? ?? ????????, ????? ????????. 75-? ?????????, 12.0(29)S.
Any comments?
???????.
/doka
==================================================================> > uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
=================================================================--
NO37-RIPE
-- Regards,
Oleh Hrynchuk Mobile: +380675025446 E-mail: oleh@nextra.cz
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- Alex Radetsky AR2657-RIPE RAD-UANIC =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
Привет! Вроде как и недолжны попрадать под output acl пакеты, порожденные роутером. P.S.: Гмм. Надо будет книжку про структуру IOS перечитать.. On Mon, 14 Mar 2005, Vladimir Litovka (vlitovka) wrote:
Hi,
я брежу?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :)
Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S.
Any comments?
Спасибо.
/doka
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- WB, Maks Nefedchenko NM17-RIPE
participants (9)
-
&y0 -
Alexander Trotsai -
Alexey Radetsky -
Maks Nefedchenko -
Oleg V. Nauman -
Oleh Hrynchuk -
Oleksandr Pantus -
Vladimir Litovka (vlitovka) -
Volodymyr Yakovenko