CBAC и WCCP

[DenisKh]

Мое почтение всем !
Вот такой вопрос возник
может ли сосущестовать успешно вместе cbac и wccp ?
Если я включаю у себя на роутере cbac то я получаю жуткие тормоза при обращении к сайтам.
Я так понимаю что картина в глазах кошки выглядит след образом.
Запрос предположим приходит с адреса 192.168.0.78 на циску,циска его отправляет на сквид,сквид снова отправляет его на циску и уже потом циска пускает этот запрос во вне.
Можно ли как то запретить проверку трафика с прокси ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

что за роутер?

[DenisKh]

2811 модель,IOS c2800nm-advsecurityk9-mz.124-15.T7.Пробовал так же другие версии IOS.Но дело явно не в них.Так как пакеты upd проходят на ура.А с TCP начинаются чудеса.

[zingel]

Вообще должно быть всё нормально.

Код: Выделить всё

sh run

Код: Выделить всё

sh proc cpu

[DenisKh]

К сожалению сейчас выложить конфиг не имею возможности,так как услали в командировку
По памяти загрузка роутера за рамки нормы не выходили.
При создании правила для cbac использовал умолчальные значения при установке пороговых значений.
в syslog получал следующие ошибки.

Код: Выделить всё

%FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:3500905322 1500 bytes is out-of-order; expected seq:3500881242. Reason: TCP reassembly queue overflow - session 192.168.0.224:55967 to 195.2.91.115:80
%FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:3500960266 1500 bytes is out-of-order; expected seq:3500937634. Reason: TCP reassembly queue overflow - session 192.168.0.224:55967 to 195.2.91.115:80

где 192.168.0.224 адрес Squid

и

Код: Выделить всё

CBAC* sis 45A7F74C pak 44DD687C SIS_OPENING/SYNSENT TCP SYN SEQ 288056612 LEN 0 (x.x.x.x:62913) => (195.98.173.205:80)
CBAC* sis 45A7F74C L4 inspect result: SKIP packet 44DD687C (x.x.x.x:62913) (195.98.173.205:80) bytes 0 ErrStr = Retransmitted Segment tcp

где x.x.x.x = внешний адрес.

[zingel]

добавь в конфиг

Код: Выделить всё

ip tcp adjust-mss 1300

[DenisKh]

Cпасибо ! попробую по прибытию !

[DenisKh]

Вопрос такой глупый
я inspect CBAC out вешаю по идее на внешний интерфейс ?

[zingel]

Код: Выделить всё

sh ip inspect sessions

[DenisKh]

Код: Выделить всё

r2811#sh ip inspect sessions 
Established Sessions
 Session 45A73764 (192.168.0.224:49994)=>(84.204.58.26:80) tcp SIS_OPEN
 Session 45A7A3DC (192.168.0.78:51887)=>(64.12.26.98:5190) tcp SIS_OPEN
 Session 45A7B1C4 (192.168.0.78:51889)=>(64.12.30.80:5190) tcp SIS_OPEN

sh ip inspect config

Код: Выделить всё

r2811#sh ip inspect config 
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [100 : 300] connections
max-incomplete sessions thresholds are [1000 : 1200]
max-incomplete tcp connections per host is 50. Block-time 5 minutes.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 300 sec -- udp idle-time is 30 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 5 sec
Inspection Rule Configuration
 Inspection name Traff_Filter
    tcp alert is on audit-trail is off timeout 300
    udp alert is on audit-trail is off timeout 30
    ftp alert is on audit-trail is off timeout 300
 Inspection name Traff_Filter_1
    esmtp max-data 20000000 alert is on audit-trail is off timeout 300

sh ip inspect interfaces

Код: Выделить всё

interface Configuration
 Interface FastEthernet0/1
  Inbound inspection rule is not set
  Outgoing inspection rule is Traff_Filter
    tcp alert is on audit-trail is off timeout 300
    udp alert is on audit-trail is off timeout 30
    ftp alert is on audit-trail is off timeout 300
  Inbound access list is e1-in
  Outgoing access list is not set

[zingel]

без конфига сложно, но видно что не рулится ацесс на in/out

[DenisKh]

Cейчас постараюсь скинуть

Код: Выделить всё

r2811#sh run
Building configuration...

Current configuration : 8484 bytes
!
! Last configuration change at 13:58:38 Moscow Fri Dec 5 2008 by cactus
! NVRAM config last updated at 13:51:30 Moscow Fri Dec 5 2008 by cactus
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname r2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-15.T7.bin
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 12
logging buffered 51200
logging console critical
!
no aaa new-model
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
no ip source-route
no ip gratuitous-arps
ip wccp web-cache redirect-list 20
!
!
ip cef
!
!
ip inspect max-incomplete high 1200
ip inspect max-incomplete low 1000
ip inspect one-minute low 100
ip inspect one-minute high 300
ip inspect tcp idle-time 300
ip inspect tcp max-incomplete host 50 block-time 5
ip inspect name Traff_Filter tcp
ip inspect name Traff_Filter udp
no ip bootp server
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
archive
 log config
  logging enable
  hidekeys
! 
!
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
!
!
!
interface Null0
 no ip unreachables
!
interface FastEthernet0/0
 description --to-sw-HP2626--
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/0.2
 description --to-nativ-VLAN--
 encapsulation dot1Q 1 native
 ip address 192.168.0.218 255.255.248.0
 ip access-group e0.2-in in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip wccp web-cache redirect in
 ip nat inside
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/0.3
 description --TLG GROUP-VLAN--
 ip access-group e0.3-in in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 no cdp enable
!
interface FastEthernet0/1
 description --External--
 ip address x.x.x.x 255.255.255.240
 ip access-group e1-in in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip wccp web-cache redirect out
 ip inspect Traffic out
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no mop enabled
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool corbina x.x.x.x x.x.x.x netmask 255.255.255.240
ip nat inside source list 10 interface FastEthernet0/1 overload
!
ip access-list extended e0.2-in
 deny   tcp any any range 135 139
 deny   udp any any range bootps bootpc
 deny   udp any any range netbios-ns netbios-ss
 deny   tcp any any eq 445
 deny   udp any any eq 445
 deny   udp any any eq 631
 deny   udp any any eq 1604
 deny   udp any any range 1026 1027
 permit udp host 192.168.0.4 host 195.14.50.1 eq domain
 permit udp host 192.168.0.4 host 195.14.50.21 eq domain
 permit udp host 192.168.0.233 host 195.14.50.1 eq domain
 permit udp host 192.168.0.233 host 195.14.50.21 eq domain
 permit udp host 192.168.0.224 host 192.168.0.218 eq 2048
 permit udp host 192.168.0.216 host 192.168.0.218 eq snmp
 permit udp host 192.168.0.4 any eq ntp
 permit udp host 192.168.0.223 any eq ntp
 permit udp host 192.168.0.215 host 195.42.16.244 eq 55777
 permit tcp host 192.168.0.226 eq ftp-data ftp www 443 any
 permit tcp host 192.168.0.228 eq smtp any
 permit tcp any any eq www 443 1863 5190 9876 18000 3233
 permit tcp host 192.168.0.226 any eq whois
 permit tcp host 192.168.0.78 host 192.168.0.218 eq 22
 permit tcp host 192.168.0.142 host 212.30.153.5 eq 1700
 permit tcp host 192.168.0.142 host 93.81.254.76 eq telnet
 permit tcp host 192.168.0.53 host 85.236.15.38 eq 1024
 permit tcp host 192.168.0.53 host 62.205.174.85 eq 32001
 permit tcp host 192.168.0.53 host 212.248.12.67 eq 8081
 permit tcp host 192.168.0.116 host 195.161.42.229 eq smtp pop3
 permit tcp host 192.168.0.75 host 194.126.197.33 eq 5550
 permit tcp host 192.168.0.25 host 194.84.25.44 eq 7247
 permit tcp host 192.168.0.39 host 194.84.25.44 eq 7249
 permit tcp host 192.168.0.225 host 194.84.25.44 eq 7081
 permit tcp host 192.168.0.101 host 195.151.239.130 eq 1410
  deny   ip any any log
ip access-list extended e0.3-in
 deny   tcp any any range 135 139
 deny   udp any any range bootps bootpc
 deny   udp any any range netbios-ns netbios-ss
 deny   tcp any any eq 445
 deny   udp any any eq 445
 deny   udp any any range 1026 1027

ip access-list extended e1-in
 deny   tcp any any range 135 139 log
 deny   udp any any range 135 netbios-ss log
 deny   tcp any any eq 445 log
 deny   udp any any eq 445 log
 deny   udp any any range 1026 1027 log
 deny   udp any any eq snmp log
 deny   ip 0.0.0.0 0.255.255.255 any log
 deny   ip 127.0.0.0 0.255.255.255 any log
 deny   ip 10.0.0.0 0.255.255.255 any log
 deny   ip 169.240.0.0 0.15.255.255 any log
 deny   ip 192.168.0.0 0.0.255.255 any log
 deny   ip 192.0.2.0 0.0.0.255 any log
 deny   ip 224.0.0.0 15.255.255.255 any log
 deny   ip 240.0.0.0 7.255.255.255 any log
 deny   ip host 255.255.255.255 any log
 deny   ip any any log
!
logging trap debugging
logging 192.168.0.216
access-list 10 permit 192.168.0.0 0.0.7.255
access-list 10 deny   any
access-list 20 deny   192.168.0.224
access-list 20 permit any
no cdp run
!
!
!
!
control-plane
!
line con 0
 login local
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input ssh
!
scheduler allocate 40000 6000
ntp clock-period 17180202
ntp update-calendar
ntp server 192.168.0.223 source FastEthernet0/0
!
end

[zingel]

погоди тогда, немного пока я выстрою в голове схему.

[DenisKh]

При

Код: Выделить всё

ip inspect name TRAFFIC_INSPECT tcp
ip inspect name TRAFFIC_INSPECT udp

Код: Выделить всё

interface FastEthernet0/1
 description --External--
 ip address x.x.x.x 255.255.255.240
 ip access-group e1-in in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect TRAFFIC_INSPECT out
 ip wccp web-cache redirect out
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no mop enabled

cbac отработал

Вобще раньше с циской дела никогда не имел,это первый конфиг. Так что если заметили какие неточности прошу указать на них,ибо опыта пока мало

[zingel]

вот погляди тут, у тебя кое чего нет, что должно быть

Код: Выделить всё

ip wccp web-cache group-address

например

http://www.cisco.com/en/US/docs/ios/12_ ... apter.html

[DenisKh]

Большое спасибо !
Если позволите еще один вопрос -
В локальной сети имеется веб сервер (MS IIS) на котором размещены несколько сайтов которые должны быть доступны в инете.Раньше вместо циски ,cтояла MS ISA на которой были настроены правила публикации,которые выглядили след образом.
Если запрос пришел на 80 порт и имя в запросе http://www.site.ru то перенаправлять его на веб сервер порт 82.Как сделать аналогично на роутере (cisco 2811)я честно говоря не совсем понял
ip nat inside source static tcp 192.168.0.226 80 x.x.x.x.x 80 extendable подходит что бы опубликовать только один сайт.Копание в сторону Host header в самом IIS желанного результата не дало.Добавление
к примеру правила

Код: Выделить всё

ip nat inside source static tcp 192.168.0.226 81 x.x.x.x.x 80 

тоже не отрабатывает так как получаю ошибку % similar static entry (192.168.0.226 -> x.x.x.x.x) already exists
Как вот разрулить такую проблему ?
PS,Посетила идея повесить на сетевую карту еще один адрес в виде алиаса .Но честно говоря выглядит это как то через одно место
PPS Идея не прошла.Циска по прежнему говорит что similar static entry (192.168.0.226 -> x.x.x.x.x) already exists Либо я не понимаю логики....

[zingel]

менять дерьмо от microsoft на нормальную операционку, потому.

Background Information

NAT only uses access lists and route maps when it needs to create a translation entry. If a translation entry already exists that matches the traffic then the translation entry will be used; any access lists or route maps will not be consulted. The difference between using an access list or route map is the type of translation entry that will be created.

http://www.experts-exchange.com/Hardwar ... 67447.html

[DenisKh]

За наводку большое спасибо !
На счет дерьма не согласен ибо их тоже уметь готовить Но это уже жесткий offtop

[zingel]

ну, там проблема в том, что редирект у тебя неправильный, погляди по-ссылке, там нужно на inside ещё настроить.

[DenisKh]

Там опечатка была
Большое спасибо за помощь !

[DenisKh]

Проблема с паблишингом нескольких решена за счет Апача,он проксирует запросы на iis.Вроде даже сработало