URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1802
[ Назад ]

Исходное сообщение
"Конфигурация CISCO"

Отправлено Kudrin , 28-Авг-15 09:21 
Приветствую коллеги, недавно купили в организацию cisco 2921 (Шлюз в интернет), вот так настроил ее, взгляните пожалуйста, подскажите чего не хватает, что не правильно.
И еще не могу настроить листы доступа правильно:
не могу подключиться к компьютерам внутри сети из внешней сети по RDP через проброшенные порты, отключаю ACL TO_LAN и TO_INTERNET все работает, сориентируйте меня пожалуйста.

Current configuration : 11025 bytes
!
! Last configuration change at 08:34:28 MSK Fri Aug 28 2015 by Admin
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname spb-bt-gw1
!
boot-start-marker
boot system flash c2900-universalk9-mz.SPA.154-3.M3.bin
boot-end-marker
!
!
logging buffered 8128
no logging console
enable secret 5 $1$t1xS$qOd7VntGCprZ5OjTYpZNr1
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone MSK 4 0
!
!
!
!
!
!
no ip source-route
!
!
!
!
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name domain.local
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW icmp
ip inspect name FW ftp
ip inspect name FW dns
ip inspect name FW http
ip inspect name FW https
ip inspect name FW smtp
ip inspect name FW pop3
ip inspect name FW router
ip ips config location flash:/ips retries 1
ip ips notify SDEE
ip ips name IOS-IPS
!
ip ips signature-category
  category all
   retired true
  category ios_ips advanced
   retired false
!
ip sdee subscriptions 2
ip cef
ip cef load-sharing algorithm include-ports source destination
login on-failure log
login on-success log
no ipv6 cef
!
multilink bundle-name authenticated
!
!
cts logging verbose
!
!
license udi pid CISCO2921/K9 sn FWE423534R1
license boot module c2900 technology-package securityk9
!
!
file verify auto
username admin privilege 15 password 7 15201F015DS33A3#23
!
redundancy
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
  key-string
   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
   00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
   17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
   B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
   5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
   FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
   50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
   006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
   2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
   F3020301 0001
  quit
!
!
!
!
no cdp run
!
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 30 ip sla 3 reachability
!
track 100 list boolean or
object 10
object 20
object 30
delay down 10 up 5
!
track 110 ip sla 11 reachability
!
track 120 ip sla 12 reachability
!
track 130 ip sla 13 reachability
!
track 200 list boolean or
object 110
object 120
object 130
delay down 10 up 5
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ===LAN===
ip address 192.168.1.1 255.255.0.0
ip access-group TO_INTERNET in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ===ISP1===
ip address 212.14.12.202 255.255.255.252
ip inspect FW out
ip access-group TO_LAN in
ip nat outside
ip ips IOS-IPS in
ip virtual-reassembly in
ip policy route-map PBR_SLA
duplex auto
speed auto
!
interface GigabitEthernet0/2
description ===ISP2===
ip address 82.15.13.18 255.255.255.252
ip nat outside
ip inspect FW out
ip ips IOS-IPS in
ip access-group TO_LAN in
ip virtual-reassembly in
ip policy route-map PBR_SLA
duplex auto
speed auto
!
ip local policy route-map PBR_SLA
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map ISP_1 interface GigabitEthernet0/1 overload
ip nat inside source route-map ISP_2 interface GigabitEthernet0/2 overload
ip nat inside source static tcp 192.168.1.14 21 212.14.12.202 21 extendable
ip nat inside source static tcp 192.168.1.14 22 212.14.12.202 22 extendable
ip nat inside source static tcp 192.168.1.15 25 212.14.12.202 25 extendable
ip nat inside source static tcp 192.168.1.15 110 212.14.12.202 110 extendable
ip nat inside source static tcp 192.168.1.15 389 212.14.12.202 389 extendable
ip nat inside source static tcp 192.168.1.21 3389 212.14.12.202 3389 extendable
ip nat inside source static tcp 192.168.1.13 3389 212.14.12.202 3390 extendable
ip nat inside source static tcp 192.168.1.16 3389 212.14.12.202 3391 extendable
ip nat inside source static tcp 192.168.1.213 3389 212.14.12.202 3392 extendable
ip nat inside source static tcp 192.168.1.16 8080 212.14.12.202 8080 extendable
ip nat inside source static udp 192.168.1.16 8080 212.14.12.202 8080 extendable
ip route 0.0.0.0 0.0.0.0 212.14.12.201 track 100
ip route 0.0.0.0 0.0.0.0 82.15.13.17 20 track 200
ip route 0.0.0.0 0.0.0.0 Null0 255
!
ip access-list standard LAN
permit 192.168.0.0 0.0.255.255
deny any
!
ip access-list extended SLA1_ACL
permit icmp host 212.14.12.202 host 8.8.8.8
permit icmp host 212.14.12.202 host 8.8.4.4
permit icmp host 212.14.12.202 host 4.4.4.4
ip access-list extended SLA2_ACL
permit icmp host 212.14.12.202 host 8.8.8.8
permit icmp host 212.14.12.202 host 8.8.4.4
permit icmp host 212.14.12.202 host 4.4.4.4
ip access-list extended TO_INTERNET
permit tcp 192.168.0.0 0.0.255.255 any eq pop3
permit tcp 192.168.0.0 0.0.255.255 any eq smtp
permit tcp 192.168.0.0 0.0.255.255 any eq 1101
permit tcp 192.168.0.0 0.0.255.255 any eq 251
permit icmp 192.168.0.0 0.0.255.255 any
permit tcp 192.168.0.0 0.0.255.255 host 78.25.108.57 eq 6036
permit tcp 192.168.0.0 0.0.255.255 any eq 8080
permit tcp 192.168.0.0 0.0.255.255 any eq 81
permit tcp 192.168.0.0 0.0.255.255 any eq 443
permit tcp 192.168.0.0 0.0.255.255 any eq www
permit tcp 192.168.0.0 0.0.255.255 any eq 22
permit tcp 192.168.0.0 0.0.255.255 any eq ftp-data
permit tcp 192.168.0.0 0.0.255.255 any eq ftp
permit tcp 192.168.0.0 0.0.255.255 any eq domain
permit udp 192.168.0.0 0.0.255.255 any eq domain
permit tcp 192.168.0.0 0.0.255.255 any eq 3389
permit udp 192.168.0.0 0.0.255.255 any eq netbios-dgm
permit udp 192.168.0.0 0.0.255.255 any eq netbios-ns
permit tcp 192.168.0.0 0.0.255.255 host 192.131.157.101 eq 1024
permit tcp 192.168.0.0 0.0.255.255 host 85.114.14.41 eq 1024
deny   ip any any
ip access-list extended TO_LAN
permit tcp any host 192.168.1.15 eq pop3
permit tcp any host 192.168.1.15 eq smtp
permit tcp any host 192.168.1.213 eq 3392
permit tcp any host 192.168.1.15 eq 389
permit tcp any host 192.168.1.16 eq 8080
permit tcp any host 192.168.1.21 eq 3389
permit tcp any host 192.168.1.13 eq 3390
permit tcp any host 192.168.1.16 eq 3391
permit udp any host 192.168.1.16 eq 8080
deny   ip any any
!
ip sla 1
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla schedule 2 life forever start-time now
ip sla 3
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla 11
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 11 life forever start-time now
ip sla 12
icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 12 life forever start-time now
ip sla 13
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 13 life forever start-time now
logging host 192.168.1.213 transport tcp port 514
!
route-map ISP_1 permit 10
match ip address LAN
match interface GigabitEthernet0/1
!
route-map ISP_2 permit 20
match ip address LAN
match interface GigabitEthernet0/2
!
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop 212.14.12.201
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop 212.14.12.201
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
exec-timeout 0 0
no activation-character
no editing
transport output none
escape-character NONE
stopbits 1
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class LAN in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
event manager applet ISP_1_UP
event track 100 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS UP"
event manager applet ISP_1_DOWN
event track 100 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS DOWN"
event manager applet ISP_2_UP
event track 200 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS UP"
event manager applet ISP_2_DOWN
event track 200 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 03  syslog msg "ISP 2 IS DOWN"
!
end


Содержание

Сообщения в этом обсуждении
"Конфигурация CISCO"
Отправлено ShyLion , 28-Авг-15 14:37 
ip inspect это старо, некрасиво и немодно
модно - Zone Based Firewall
Пример в теме про NAT рядом.

"Конфигурация CISCO"
Отправлено Kudrin , 02-Сен-15 18:04 
> ip inspect это старо, некрасиво и немодно
> модно - Zone Based Firewall
> Пример в теме про NAT рядом.

спасибо, учту, разбираюсь c ZBFW



"Конфигурация CISCO"
Отправлено Kudrin , 03-Сен-15 17:17 
> ip inspect это старо, некрасиво и немодно
> модно - Zone Based Firewall
> Пример в теме про NAT рядом.

никак не могу найти описание внятного -
вот такая конфигурация получилась, проброшенные порты не работают и почта не приходит с mail.ru и других почтовиков, понимаю что надо ACL прикрутить, но куда и как выглядить должен примерно?

class-map type inspect match-any cm_http_dns_smtp
match protocol http
match protocol https
match protocol dns
match protocol icmp
match protocol ftp
match protocol smtp
match protocol pop3
!
policy-map type inspect in-out
class type inspect cm_http_dns_smtp
  inspect
class class-default
  drop log
!
zone security outside
description Big and Scary internet
zone security inside
description Shy and Modest intranet
zone-pair security inside-outside source inside destination outside
service-policy type inspect in-out



"Конфигурация CISCO"
Отправлено ShyLion , 04-Сен-15 07:20 
> вот такая конфигурация получилась

это какбы не вся конфигурация


"Конфигурация CISCO"
Отправлено Kudrin , 04-Сен-15 08:52 
>> вот такая конфигурация получилась
> это какбы не вся конфигурация

Вот вся

version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname ROUTER
!
boot-start-marker
boot system flash c2900-universalk9-mz.SPA.154-3.M3.bin
boot-end-marker
!
!
logging buffered 8128
enable secret 5 $1$t1ED$qOd7VnRGCpSZ5OjTYpZNr1
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone MSK 4 0
!
!
!
!
!
!
no ip source-route
ip arp proxy disable
!
!
!
!
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name FIRMA.LOCAL
ip ips config location flash:/ips retries 1
ip ips notify SDEE
ip ips name IOS-IPS
!
ip ips signature-category
  category all
   retired true
  category ios_ips advanced
   retired false
!
ip sdee subscriptions 2
ip cef
ip cef load-sharing algorithm include-ports source destination
login on-failure log
login on-success log
no ipv6 cef
!
multilink bundle-name authenticated
!
!
cts logging verbose
!
!
license udi pid CISCO2921/K9 sn FCZ190560U0
license boot module c2900 technology-package securityk9
!
!
file verify auto
username wASYA privilege 15 secret 5 $1$jE0q$gBl2FgCyRjzqkhGR3JHiz.
username ROMA privilege 15 secret 5 $1$LYcl$zt.ESEApFt1kVuQ4HW2Dm/
!
redundancy
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
  key-string
   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
   00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
   17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
   B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
   5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
   FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
   50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
   006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
   2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
   F3020301 0001
  quit
!
!
!
!
no cdp run
!
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 30 ip sla 3 reachability
!
track 100 list boolean or
object 10
object 20
object 30
delay down 10 up 5
!
track 110 ip sla 11 reachability
!
track 120 ip sla 12 reachability
!
track 130 ip sla 13 reachability
!
track 200 list boolean or
object 110
object 120
object 130
delay down 10 up 5
!
!
class-map type inspect match-any cm_http_dns_smtp
match protocol http
match protocol https
match protocol dns
match protocol icmp
match protocol ftp
match protocol smtp
match protocol pop3
!
policy-map type inspect in-out
class type inspect cm_http_dns_smtp
  inspect
class class-default
  drop log
!
zone security outside
description Big and Scary internet
zone security inside
description Shy and Modest intranet
zone-pair security inside-outside source inside destination outside
service-policy type inspect in-out
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ===LAN===
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security inside
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ===ISP1===
ip address 85.12.17.202 255.255.255.252
ip nat outside
ip virtual-reassembly in
zone-member security outside
ip policy route-map PBR_SLA
duplex auto
speed auto
!
interface GigabitEthernet0/2
description ===ISP2===
ip address 212.11.32.82 255.255.255.252
ip nat outside
ip virtual-reassembly in
ip policy route-map PBR_SLA
duplex auto
speed auto
!
ip local policy route-map PBR_SLA
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map ISP_1 interface GigabitEthernet0/1 overload
ip nat inside source route-map ISP_2 interface GigabitEthernet0/2 overload
ip nat inside source static tcp 192.168.1.14 21 85.12.17.202 21 extendable
ip nat inside source static tcp 192.168.1.14 22 85.12.17.202 22 extendable
ip nat inside source static tcp 192.168.1.15 25 85.12.17.202 25 extendable
ip nat inside source static tcp 192.168.1.15 110 85.12.17.202 110 extendable
ip nat inside source static tcp 192.168.1.15 389 85.12.17.202 389 extendable
ip nat inside source static tcp 192.168.1.21 3389 85.12.17.202 3389 extendable
ip nat inside source static tcp 192.168.1.13 3389 85.12.17.202 3390 extendable
ip nat inside source static tcp 192.168.1.16 3389 85.12.17.202 3391 extendable
ip nat inside source static tcp 192.168.1.213 3389 85.12.17.202 3392 extendable
ip nat inside source static tcp 192.168.1.16 8080 85.12.17.202 8080 extendable
ip nat inside source static udp 192.168.1.16 8080 85.12.17.202 8080 extendable
ip route 0.0.0.0 0.0.0.0 85.12.17.201 track 100
ip route 0.0.0.0 0.0.0.0 212.11.32.81 20 track 200
ip route 0.0.0.0 0.0.0.0 Null0 255
!
ip access-list standard LAN
permit 192.168.1.0 0.0.0.255
deny   any
!
ip access-list extended SLA1_ACL
permit icmp host 85.12.17.202 host 8.8.8.8
permit icmp host 85.12.17.202 host 8.8.4.4
permit icmp host 85.12.17.202 host 4.4.4.4
ip access-list extended SLA2_ACL
permit icmp host 212.11.32.82 host 8.8.8.8
permit icmp host 212.11.32.82 host 8.8.4.4
permit icmp host 212.11.32.82 host 4.4.4.4
ip access-list extended TO_INTERNET
permit tcp any range 3389 3392 any
permit tcp any any eq 8080
permit udp any any eq 8080
permit tcp any eq 8080 any
permit udp any eq 8080 any
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any eq 443 any
permit udp any eq 443 any
permit tcp any any eq 465
permit udp any any eq 465
permit tcp any eq 465 any
permit udp any eq 465 any
permit tcp any any eq www
permit tcp any eq www any
permit tcp any any eq ftp
permit tcp any eq ftp any
permit tcp any any eq ftp-data
permit tcp any eq ftp-data any
permit tcp any any eq domain
permit udp any any eq domain
permit tcp any any eq pop3
permit tcp any eq pop3 any
permit tcp any any eq smtp
permit tcp any eq smtp any
permit udp any any eq ntp
permit udp any any eq netbios-dgm
permit udp any any eq netbios-ns
permit icmp any any
deny   ip any any
ip access-list extended TO_LAN
permit tcp any any range 3389 3392
permit tcp any range 3389 3392 any
permit tcp any any eq 8080
permit tcp any eq 8080 any
permit tcp any eq 443 any
permit udp any eq 443 any
permit tcp any any eq 465
permit tcp any eq 465 any
permit tcp any any eq www
permit tcp any eq www any
permit tcp any any eq ftp
permit tcp any eq ftp any
permit tcp any any eq ftp-data
permit tcp any eq ftp-data any
permit tcp any any eq domain
permit udp any any eq domain
permit tcp any eq domain any
permit udp any eq domain any
permit tcp any any eq pop3
permit tcp any eq pop3 any
permit tcp any any eq smtp
permit tcp any eq smtp any
permit udp any any eq ntp
permit udp any eq ntp any
permit udp any any eq netbios-dgm
permit udp any any eq netbios-ns
permit icmp any any
deny   ip any any
!
ip sla 1
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla schedule 2 life forever start-time now
ip sla 3
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/1
threshold 1000
timeout 1500
frequency 3
ip sla 11
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 11 life forever start-time now
ip sla 12
icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 12 life forever start-time now
ip sla 13
icmp-echo 4.4.4.4 source-interface GigabitEthernet0/2
threshold 1000
timeout 1500
frequency 3
ip sla schedule 13 life forever start-time now
logging host 192.168.1.213 transport tcp port 514
!
route-map ISP_1 permit 10
match ip address LAN
match interface GigabitEthernet0/1
!
route-map ISP_2 permit 20
match ip address LAN
match interface GigabitEthernet0/2
!
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop 85.12.17.201
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop 212.11.32.81
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
exec-timeout 0 0
no activation-character
no editing
transport output none
escape-character NONE
stopbits 1
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class LAN in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
event manager applet ISP_1_UP
event track 100 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS UP"
event manager applet ISP_1_DOWN
event track 100 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS DOWN"
event manager applet ISP_2_UP
event track 200 state up
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 003 syslog msg "ISP 1 IS UP"
event manager applet ISP_2_DOWN
event track 200 state down
action 001 cli command "enable"
action 002 cli command "clear ip nat trans *"
action 03  syslog msg "ISP 2 IS DOWN"
!
end


"Конфигурация CISCO"
Отправлено ShyLion , 04-Сен-15 14:16 
>[оверквотинг удален]
> ip nat inside source static tcp 192.168.1.14 22 85.12.17.202 22 extendable
> ip nat inside source static tcp 192.168.1.15 25 85.12.17.202 25 extendable
> ip nat inside source static tcp 192.168.1.15 110 85.12.17.202 110 extendable
> ip nat inside source static tcp 192.168.1.15 389 85.12.17.202 389 extendable
> ip nat inside source static tcp 192.168.1.21 3389 85.12.17.202 3389 extendable
> ip nat inside source static tcp 192.168.1.13 3389 85.12.17.202 3390 extendable
> ip nat inside source static tcp 192.168.1.16 3389 85.12.17.202 3391 extendable
> ip nat inside source static tcp 192.168.1.213 3389 85.12.17.202 3392 extendable
> ip nat inside source static tcp 192.168.1.16 8080 85.12.17.202 8080 extendable
> ip nat inside source static udp 192.168.1.16 8080 85.12.17.202 8080 extendable

Так у тебя на фаерволе открыто изнутри-наружу.
А дополнительно нужно открыть "некоторые" сервисы "снаружи-внутрь"

Для этого zone-pair нужно отдельно делать, соответсвенно и полиси соответствующую.


"Конфигурация CISCO"
Отправлено fantom , 02-Сен-15 17:52 
КЛАСС!!!!
Теперь админ провайдера может совершенно спокойно у себя в сети сделать подсетку 192.168.128.0/24 и с логином
"admin"
и паролем
"Rtm9IqGk"
Зайти и все вам исправить......

Почему так? Так сетка 192.168.128.0/24 для вашего маршрутера за дефаулт гейтвеем расположена :)

Так что первый совет - поменять пароли!

>[оверквотинг удален]
>  action 001 cli command "enable"
>  action 002 cli command "clear ip nat trans *"
>  action 003 syslog msg "ISP 1 IS UP"
> event manager applet ISP_2_DOWN
>  event track 200 state down
>  action 001 cli command "enable"
>  action 002 cli command "clear ip nat trans *"
>  action 03  syslog msg "ISP 2 IS DOWN"
> !
> end


"Конфигурация CISCO"
Отправлено Kudrin , 02-Сен-15 18:03 
>[оверквотинг удален]
>>  action 001 cli command "enable"
>>  action 002 cli command "clear ip nat trans *"
>>  action 003 syslog msg "ISP 1 IS UP"
>> event manager applet ISP_2_DOWN
>>  event track 200 state down
>>  action 001 cli command "enable"
>>  action 002 cli command "clear ip nat trans *"
>>  action 03  syslog msg "ISP 2 IS DOWN"
>> !
>> end

спс за совет, я его учел заранее, все строчки поправлены прежде чем выложить на форум


"Конфигурация CISCO"
Отправлено fantom , 02-Сен-15 19:05 
>[оверквотинг удален]
>>>  action 003 syslog msg "ISP 1 IS UP"
>>> event manager applet ISP_2_DOWN
>>>  event track 200 state down
>>>  action 001 cli command "enable"
>>>  action 002 cli command "clear ip nat trans *"
>>>  action 03  syslog msg "ISP 2 IS DOWN"
>>> !
>>> end
> спс за совет, я его учел заранее, все строчки поправлены прежде чем
> выложить на форум

С RDP все вроде логично - у вас в ТУ_ИНТЕРНЕТ нет правила
permit tcp host 192.168.1.21 eq 3389 any

Вот ваш РДП и дропится....
Связь то она двусторнонняя должна быть....


"Конфигурация CISCO"
Отправлено ShyLion , 03-Сен-15 07:25 
> спс за совет, я его учел заранее, все строчки поправлены прежде чем
> выложить на форум

нужно использовать
username admin priv 15 secret 0 .....
тогда обратно так просто не дешифровать пароль
а password 7 это обратимое кодирование (даже не шифрование), алгоритм которого известен давно всем


"Конфигурация CISCO"
Отправлено Kudrin , 03-Сен-15 12:53 
>> спс за совет, я его учел заранее, все строчки поправлены прежде чем
>> выложить на форум
> нужно использовать
> username admin priv 15 secret 0 .....
> тогда обратно так просто не дешифровать пароль
> а password 7 это обратимое кодирование (даже не шифрование), алгоритм которого известен
> давно всем

не сразу понял в чем подвох, спасибо, попробовал ввести следующее
router(config)#username admin privilege 15 secret 0 <пароль>
в конфиге выдал
username kudrin privilege 15 secret 5 <пароль>
что то делаю неправильно?


"Конфигурация CISCO"
Отправлено ShyLion , 03-Сен-15 13:11 
>[оверквотинг удален]
>> нужно использовать
>> username admin priv 15 secret 0 .....
>> тогда обратно так просто не дешифровать пароль
>> а password 7 это обратимое кодирование (даже не шифрование), алгоритм которого известен
>> давно всем
> не сразу понял в чем подвох, спасибо, попробовал ввести следующее
> router(config)#username admin privilege 15 secret 0 <пароль>
> в конфиге выдал
> username kudrin privilege 15 secret 5 <пароль>
> что то делаю неправильно?

Все правильно.

когда вводишь в открытом виде, пишешь secret 0 open_password
service password-encryption вычисляет хеш и сохраняет его в конфиг в виде
secret 5 HASHED_PASSWROD
обратно из хеша в пароль уже не вычислить.


"Конфигурация CISCO"
Отправлено Kudrin , 03-Сен-15 14:30 
>[оверквотинг удален]
>> не сразу понял в чем подвох, спасибо, попробовал ввести следующее
>> router(config)#username admin privilege 15 secret 0 <пароль>
>> в конфиге выдал
>> username kudrin privilege 15 secret 5 <пароль>
>> что то делаю неправильно?
> Все правильно.
> когда вводишь в открытом виде, пишешь secret 0 open_password
> service password-encryption вычисляет хеш и сохраняет его в конфиг в виде
> secret 5 HASHED_PASSWROD
> обратно из хеша в пароль уже не вычислить.

все ясно, спасибо


"Конфигурация CISCO"
Отправлено Peace , 11-Сен-15 20:38 
Будет полезно покурить http://www.opennet.me/base/cisco/cisco_sec_intro.txt.html
Хотя, курить вообще то вредно )