URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17179
[ Назад ]

Исходное сообщение
"Динамические acl"

Отправлено DiMUS , 18-Сен-08 08:37 
Подскажите, как создать динамический список правил,
которые будут разрешать доступ к RDP.

Содержание

Сообщения в этом обсуждении
"Динамические acl"
Отправлено CrAzOiD , 18-Сен-08 08:51 
>Подскажите, как создать динамический список правил,
>которые будут разрешать доступ к RDP.

поясните желание кратким описанием задачи


"Динамические acl"
Отправлено DiMUS , 18-Сен-08 09:21 
>>Подскажите, как создать динамический список правил,
>>которые будут разрешать доступ к RDP.
>
>поясните желание кратким описанием задачи

нужно с реального адреса xxx.xxx.xxx.xxx попадать на серый адрес 192.168.0.3 порт 3389 через
реальный адрес циски yyy.yyy.yyy.yyy. На циске настроен нат c redirect port.



"Динамические acl"
Отправлено CrAzOiD , 18-Сен-08 09:29 
>>>Подскажите, как создать динамический список правил,
>>>которые будут разрешать доступ к RDP.
>>
>>поясните желание кратким описанием задачи
>
>нужно с реального адреса xxx.xxx.xxx.xxx попадать на серый адрес 192.168.0.3 порт 3389
>через
>реальный адрес циски yyy.yyy.yyy.yyy. На циске настроен нат c redirect port.

угу, понятно
и почему вы не попадаете?
и ваше видение "динамического списка правил"? правил чего?


"Динамические acl"
Отправлено DiMUS , 18-Сен-08 09:34 
Интересует, правила такого вида будут работать?

# access-list 108 dynamic admin_rdp timeout 10 permit tcp host xxx.xxx.xxx.xxx host
yyy.yyy.yyy.yyy eq 3389
# access-list 108 deny   tcp any host yyy.yyy.yyy.yyy eq 3389



"Динамические acl"
Отправлено CrAzOiD , 18-Сен-08 09:51 
>Интересует, правила такого вида будут работать?
>
># access-list 108 dynamic admin_rdp timeout 10 permit tcp host xxx.xxx.xxx.xxx host
>
>yyy.yyy.yyy.yyy eq 3389
># access-list 108 deny   tcp any host yyy.yyy.yyy.yyy eq 3389
>

а какое событие будет триггером?

вопрос: IP адрес xxx.xxx.xxx.xxx известен и фиксирован?


"Динамические acl"
Отправлено DiMUS , 18-Сен-08 10:11 
>>Интересует, правила такого вида будут работать?
>>
>># access-list 108 dynamic admin_rdp timeout 10 permit tcp host xxx.xxx.xxx.xxx host
>>
>>yyy.yyy.yyy.yyy eq 3389
>># access-list 108 deny   tcp any host yyy.yyy.yyy.yyy eq 3389
>>
>
>а какое событие будет триггером?

попытка подключения с адреса xxx.xxx.xxx.xxx

>вопрос: IP адрес xxx.xxx.xxx.xxx известен и фиксирован?

Да



"Динамические acl"
Отправлено CrAzOiD , 18-Сен-08 10:18 
>[оверквотинг удален]
>>>
>>># access-list 108 dynamic admin_rdp timeout 10 permit tcp host xxx.xxx.xxx.xxx host
>>>
>>>yyy.yyy.yyy.yyy eq 3389
>>># access-list 108 deny   tcp any host yyy.yyy.yyy.yyy eq 3389
>>>
>>
>>а какое событие будет триггером?
>
>попытка подключения с адреса xxx.xxx.xxx.xxx

Это  не триггер.
How Lock-and-Key Works
The following process describes the lock-and-key access operation:

1. A user opens a Telnet session to a border (firewall) router configured for lock-and-key. The user connects via the virtual terminal port on the router.

2. The Cisco IOS software receives the Telnet packet, opens a Telnet session, prompts for a password, and performs a user authentication process. The user must pass authentication before access through the router is allowed. The authentication process can be done by the router or by a central access security server such as a TACACS+ or RADIUS server.

3. When the user passes authentication, they are logged out of the Telnet session, and the software creates a temporary entry in the dynamic access list. (Per your configuration, this temporary entry can limit the range of networks to which the user is given temporary access.)

4. The user exchanges data through the firewall.

5. The software deletes the temporary access list entry when a configured timeout is reached, or when the system administrator manually clears it. The configured timeout can either be an idle timeout or an absolute timeout.

http://www.cisco.com/en/US/docs/ios/12_1/security/configurat...

>>вопрос: IP адрес xxx.xxx.xxx.xxx известен и фиксирован?
>
>Да

Пропишите обычный ACL
access-list 100 permit tcp host xxx.xxx.xxx.xxx host yyy.yyy.yyy.yyy eq 3389
.... другие правила
access-list 100 deny ip any any