URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11085
[ Назад ]
Исходное сообщение
"Access-list"
Отправлено rimon , 22-Июл-06 15:30 
Снова всем привет.
Такой вопрос у меня. Есть Cisco 2611 с двумя eth.
e0/0 192.168.1.1/24
e0/1 192.168.2.1/24

Нужно всю сеть 192.168.2.0/24 защитить ACL так чтобы они ходили только куда можно (www, почта) а к ним ни кто. Делал я это так.

ip access-list extended permit_out_from_eth0/1
    permit tcp 192.168.2.0 0.0.0.255 any established log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
    deny ip any any log

ip access-list extended deny_in_to_eth0/1
    deny ip any 192.168.2.0 0.0.0.255 log

conf t
int f0/1
ip access-g permit_out_from_eth0/1 in
ip acces deny_in_to_eth0/1 out

Когда сделал то никто не работает. Если только "ip access-g permit_out_from_eth0/1 in", то это точти то - т.е можно зайти на РС а сети 192.168.2.0 по RDP.
Что у меня не так? Спасибо.

Содержание
Сообщения в этом обсуждении
"Access-list"
Отправлено ilya , 22-Июл-06 15:36 
конфиг в студию
"Access-list"
Отправлено chuvy , 22-Июл-06 16:04 
>конфиг в студию
ip access-list extended deny_in_to_eth0/1
    deny ip any 192.168.2.0 0.0.0.255 log
прикольно
все заприщаешь и еще что-то хочешь чтоб работало

permit tcp any 192.168.2.0 0.0.0.255 established
permit tcp any 192.168.2.0 0.0.0.255 gt 1025
permit udp any 192.168.2.0 0.0.0.255 gt 1025
deny ip any network

само просто

"Access-list"
Отправлено rimon , 22-Июл-06 16:25 
>>конфиг в студию
>ip access-list extended deny_in_to_eth0/1
>    deny ip any 192.168.2.0 0.0.0.255 log
>прикольно
>все заприщаешь и еще что-то хочешь чтоб работало
>
>permit tcp any 192.168.2.0 0.0.0.255 established
>permit tcp any 192.168.2.0 0.0.0.255 gt 1025
>permit udp any 192.168.2.0 0.0.0.255 gt 1025
>deny ip any network
>
>само просто


Не знаю правильно ли это. Ведь я запрещаж RDP - 3389. А ты открываешь выше 1025. И потом как на интерфейс этот АCL загнать?

"Access-list"
Отправлено rimon , 22-Июл-06 16:13 
>конфиг в студию

interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 192.168.1.2 255.255.255.0
ip access-group permit_out_from_eth01 in
no ip directed-broadcast
!
interface Serial0
no ip address
no ip directed-broadcast
encapsulation frame-relay IETF
!
interface Serial0.1 point-to-point
ip address 11.11.11.2 255.255.255.252
no ip directed-broadcast
frame-relay interface-dlci 16
!
ip access-list extended permit_out_from_eth01
    permit tcp 192.168.2.0 0.0.0.255 any established log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
    deny ip any any log
!
ip access-list extended deny_in_to_eth01
    deny ip any 192.168.2.0 0.0.0.255 log
!


"Access-list"
Отправлено ilya , 22-Июл-06 16:29 
>>конфиг в студию
>
>interface Ethernet0/0
> ip address 192.168.1.1 255.255.255.0
> no ip directed-broadcast
>!
>interface Ethernet0/1
> ip address 192.168.1.2 255.255.255.0
> ip access-group permit_out_from_eth01 in
> no ip directed-broadcast
>!
>interface Serial0
> no ip address
> no ip directed-broadcast
> encapsulation frame-relay IETF
>!
>interface Serial0.1 point-to-point
> ip address 11.11.11.2 255.255.255.252
> no ip directed-broadcast
> frame-relay interface-dlci 16
>!
>ip access-list extended permit_out_from_eth01
>    permit tcp 192.168.2.0 0.0.0.255 any established log
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
>log
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
>
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
>
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
>
>    deny ip any any log
>!
>ip access-list extended deny_in_to_eth01
>    deny ip any 192.168.2.0 0.0.0.255 log
>!


1. у вас два эзернета смотрящих в одну сеть?
2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 ?

"Access-list"
Отправлено rimon , 22-Июл-06 16:42 
>>>конфиг в студию
>>
>>interface Ethernet0/0
>> ip address 192.168.1.1 255.255.255.0
>> no ip directed-broadcast
>>!
>>interface Ethernet0/1
>> ip address 192.168.1.2 255.255.255.0
>> ip access-group permit_out_from_eth01 in
>> no ip directed-broadcast
>>!
>>interface Serial0
>> no ip address
>> no ip directed-broadcast
>> encapsulation frame-relay IETF
>>!
>>interface Serial0.1 point-to-point
>> ip address 11.11.11.2 255.255.255.252
>> no ip directed-broadcast
>> frame-relay interface-dlci 16
>>!
>>ip access-list extended permit_out_from_eth01
>>    permit tcp 192.168.2.0 0.0.0.255 any established log
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
>>log
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
>>
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
>>
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
>>
>>    deny ip any any log
>>!
>>ip access-list extended deny_in_to_eth01
>>    deny ip any 192.168.2.0 0.0.0.255 log
>>!
>
>
>1. у вас два эзернета смотрящих в одну сеть?
>2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0
>?


Опечатка. сеть 192.168.2.0/24 И eth0/1 192.168.2.1/24

"Access-list"
Отправлено limit , 10-Авг-06 14:45 
Посмотри лог файрволла и разреши, то что они пытаются сделать.
А что за хосты: 172.16.20.х? Это все, что угодно?
Предполагаю, что правильнее: permit tcp 192.168.2.0 0.0.0.255 any eq www