URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16587
[ Назад ]

Исходное сообщение
"Вопрос по route-map"
Отправлено sizgiyaev , 25-Июн-08 13:10

Здравствуйте.
Столкнулся с проблемкой устанавливая прокси.
Есть сеть:
                Интернет
                   |
                   |
                Firewall ---- DMZ(4.4.4.0)
                   |
                   | --- Proxy (3.3.3.3)
                   |
               Router Cisco 2600
                 /       \
                /         \
       LAN1(1.1.1.0)     LAN2 (2.2.2.0)
Задача в том чтобы перенаправить весь траффик на портах 80,443 и 21 через прокси из двух локалных сетей, с условием что этот трaффик направлен в интернет а не в DMZ1 или в одну из локальных сетей из другой.
Настройки маршрутизатора:
interface FastEthernet0/0 (Внутренний)
ip address 2.2.2.254 255.255.255.0 secondary
ip address 1.1.1.254 255.255.255.0
ip policy route-map gotoproxy
interface FastEthernet0/1 (Внешний)
ip address 3.3.3.1 255.255.255.240

access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq ftp
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq ftp
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp
route-map gotoproxy permit 10
match ip address 123 124 125 126
set ip next-hop 3.3.3.254 (Firewall)
route-map gotoproxy permit 20
match ip address 113 114
set ip next-hop 3.3.3.3 (Proxy)

В такой ситуации все работает прекрасно, проблема между локальными сетями:
Все обращения по данным портам между ними проходят через прокси.
Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не происходило?

Заранее благодарю за любую помощь
Сергей

Содержание

Вопрос по route-map,NetMan, 13:41 , 25-Июн-08
- Вопрос по route-map,NetMan, 13:47 , 25-Июн-08
  - Вопрос по route-map,NetMan, 13:52 , 25-Июн-08
    - Вопрос по route-map,sizgiyaev, 14:15 , 25-Июн-08
      - Вопрос по route-map,NetMan, 14:19 , 25-Июн-08
        
        Вопрос по route-map,sizgiyaev, 14:56 , 25-Июн-08

Сообщения в этом обсуждении

"Вопрос по route-map"
Отправлено NetMan , 25-Июн-08 13:41

>[оверквотинг удален]
>
>
>В такой ситуации все работает прекрасно, проблема между локальными сетями:
>Все обращения по данным портам между ними проходят через прокси.
>Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не
>происходило?
>
>
>Заранее благодарю за любую помощь
>Сергей
Поправь access-list-ы:
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21

"Вопрос по route-map"
Отправлено NetMan , 25-Июн-08 13:47

Еще подкорректировать роут-мапы

route-map gotoproxy permit 10
match ip address 113 114
set ip next-hop 3.3.3.3 (Proxy)
route-map gotoproxy permit 20
set ip next-hop 3.3.3.254 (Firewall)

"Вопрос по route-map"
Отправлено NetMan , 25-Июн-08 13:52

ДМЗ еще в аксес листах
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
Кажется все

"Вопрос по route-map"
Отправлено sizgiyaev , 25-Июн-08 14:15

>[оверквотинг удален]
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>
>Кажется все
Большое спасибо :)
В такой ситации может роутемап пермит 20 вообще не нужен если дефолт роуте на фаирвалл?

"Вопрос по route-map"
Отправлено NetMan , 25-Июн-08 14:19

>[оверквотинг удален]
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>>
>>Кажется все
>
>Большое спасибо :)
>
>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
>роуте на фаирвалл?
Не нужен :)

"Вопрос по route-map"
Отправлено sizgiyaev , 25-Июн-08 14:56

>[оверквотинг удален]
>>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>>>
>>>Кажется все
>>
>>Большое спасибо :)
>>
>>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
>>роуте на фаирвалл?
>
>Не нужен :
Спасибо :)