О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

MES3308F, проблема с telnet, ACL на доступ к коммутатору.

MES, ESR
asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 20 окт 2021 17:05

Обнаружилась проблема с telnet, ПО 4.0.16.2. Дошло до использования его как L3, и появился незакрытый файрволом реальный IP. telnet почти сразу перестал работать. Я так понимаю, из-за попыток подбора пароля, или ещё из-за какого-то трафика. Последняя запись про telnet:

Код: Выделить всё

<188>%AAA-W-REJECT: New telnet connection for user bin, source 182.185.174.237 destination x.x.x.149, local user table REJECTED.

и всё. Коммутатор доступен по SNMP, можно перезагрузить, но хватает не на долго. telnet telnet-ом, его починить бы конечно, но, в любом случае, надо бы и посредством ACL закрыть коммутатор. У некоторых производителей (и у Вас, но для ESR) есть специальные правила, означающие доступ к устройству. Есть ли что-то такое для MES? Что-то не увидел пока в документации.
Сергей.

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 20 окт 2021 18:51

Вариант с management access-list пропустил как-то, но он не очень всё равно: приводит к записи в лог ненужного

Код: Выделить всё

%MNGINF-W-ACL: Management ACL drop packet received on interface Vlan 8 from 172.16.26.46 to 172.16.26.45 protocol 6 service Telnet

Было бы не плохо, если бы можно было написать что-то вроде no logging management-acl
Сергей.

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 20 окт 2021 19:11

И вот это не хорошо:

Код: Выделить всё

console(config-macl)#permit ip-source 192.168.0.0 mask /16
Cannot modify active list
То есть надо отключить management access-class, а за это время telnet завесить могут...

И вот ещё засада:

Код: Выделить всё

!
management access-list sw
 permit ip-source 10.0.0.0 mask 255.0.0.0
 permit ip-source 192.168.0.0 mask 255.255.0.0
exit
!

Как удалить? :-)

Код: Выделить всё

console(config-macl)#remove
  ace-priority         Index for identificating access-list rule.

А какой приоритет у какого правила, да ещё с учётом, что у ip access-list назначается с шагом 20, не очень очевидно. Надо ace-priority тоже показывать, как для ip access-list
Сергей.

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 20 окт 2021 20:32

И вот это не хорошо:

Хотя их можно сделать больше одного и переключать между ними. Только тут в show run, на мой взгляд, помарка:

Код: Выделить всё

!
management access-list sw
 permit ip-source 10.0.0.0 mask 255.0.0.0
 permit ip-source 192.168.0.0 mask 255.255.0.0
 exit
 management access-list sw2
 permit ip-source 192.168.0.0 mask 255.255.0.0
exit
!
"exit" и "management" не сдвинуты влево. Но вопрос творческий...

Но отключение логгирования нужно всё равно, это хорошо, когда сообщения на syslog сервер шлются, а локально нужное точно мусором про попытки затрётся.
Сергей.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение Евгений Т » 21 окт 2021 08:43

Добрый день.

Логирование можно отключить командой
console(config)#no management logging deny

Если требуется выяснить почему теряется доступ, то прошу завести заявку по форме:
https://eltex-co.ru/support/
К ней приложить в момент работы
show tech-sup
Также поcле возникновения проблемы при консольном подключении (возможно стоит заранее подключиться, чтобы занять сессию)
show tech-sup
show users
show services tcp-udp
Потом перейти в дебаг-режим и выполнить (как перейти могу в рамках заведённой заявки написать)
print ip tcp sessions
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 21 окт 2021 18:02

Логирование можно отключить командой
console(config)#no management logging deny
Спасибо!
Если требуется выяснить почему теряется доступ

Я попробую воспроизвести на 2308. Если удастся, это проще будет для опытов последующих.
Сергей.

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 10 ноя 2021 04:02

Евгений Т писал(а):Логирование можно отключить командой
console(config)#no management logging deny

Что-то подумалось. А на сколько сложно реализовать третье состояние? То есть, кроме Enabled и Disabled, было бы интересно Syslog, как мне кажется. Мне - точно.
Сергей.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение Евгений Т » 10 ноя 2021 08:39

Добрый день.

Опишите подробнее. Чтобы ничего не отбрасывало, но логировалось?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение asy » 10 ноя 2021 15:30

Евгений Т писал(а):Опишите подробнее. Чтобы ничего не отбрасывало, но логировалось?

На примере "management logging deny" получается, что есть два состояния: Enabled и Disabled. В первом случае сообщения "Management ACL drop packet received ..." попадают и в локальный журнал коммутатора, и уходят на syslog-сервер, если отправка на syslog-сервер настроена. Во втором случае сообщения не пишутся ни локально (что хорошо), ни отправляются на syslog-сервер. Вот думается, что иметь третье состояние, когда локально не пишется, но на syslog-сервер отправляется, если он настроен, было бы не плохо.

И совсем хорошо было бы ещё для AAA настраивать отдельно исключение на логгирование пары username-IP, но тут, наверное сложнее, и, может быть, мало кому нужно. А нужно вот для чего. У нас мониторится доступность коммутаторов по telnet, и этих попыток тоже в журнале достаточно много. Использовать "no aaa logging login", в отличие от "no management logging deny", не очень хорошо. Хотя, если бы было можно оставить запись на syslog-сервер, было бы терпимо.
Сергей.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES3308F, проблема с telnet, ACL на доступ к коммутатору.

Сообщение Евгений Т » 10 ноя 2021 15:38

Вот думается, что иметь третье состояние, когда локально не пишется, но на syslog-сервер отправляется, если он настроен, было бы не плохо.

Тут вопрос глобальнее. У нас syslog для всего функционала и в локальный журнал пишется, и отправляется на сервер. Нельзя для какого-то функционала настроить исключение. Если только по уровням логирования
console#configure
console(config)#logging buffered
emergencies System is unusable
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
errors Error conditions (severity=3)
warnings Warning conditions (severity=4)
notifications Normal but significant conditions (severity=5)
informational Informational messages (severity=6)
debugging Debugging messages (severity=7)

Если требуется реализация, прошу завести обращение по форме https://eltex-co.ru/support/
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и 9 гостей