URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18027
[ Назад ]

Исходное сообщение
"Аналог ipfw lookup tables в IOS"
Отправлено kabiolskiy , 16-Янв-09 13:33

Добрый день.
В ipfw можно написать, к примеру, так:
ipfw add 100 allow ip from table(1) to any
или так:
ipfw add 101 allow tcp from table(2) to any dst-port 80
и уже потом руками (или другим способом) менять полученный список доступа (ipfw table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не меняя правил и их последовательности в фаерволе.
Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким cпособом?

Содержание

Аналог ipfw lookup tables в IOS,fantom, 13:37 , 16-Янв-09
- Аналог ipfw lookup tables в IOS,kabiolskiy, 13:49 , 16-Янв-09
  - Аналог ipfw lookup tables в IOS,Eduard_k, 14:04 , 16-Янв-09
    - Аналог ipfw lookup tables в IOS,Eduard_k, 15:35 , 16-Янв-09
      - Аналог ipfw lookup tables в IOS,kabiolskiy, 18:47 , 16-Янв-09

Сообщения в этом обсуждении

"Аналог ipfw lookup tables в IOS"
Отправлено fantom , 16-Янв-09 13:37

>[оверквотинг удален]
>В ipfw можно написать, к примеру, так:
>ipfw add 100 allow ip from table(1) to any
>или так:
>ipfw add 101 allow tcp from table(2) to any dst-port 80
>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>меняя правил и их последовательности в фаерволе.
>
>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>cпособом?
Посмотрите в сторону policy

"Аналог ipfw lookup tables в IOS"
Отправлено kabiolskiy , 16-Янв-09 13:49

>[оверквотинг удален]
>>или так:
>>ipfw add 101 allow tcp from table(2) to any dst-port 80
>>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>>меняя правил и их последовательности в фаерволе.
>>
>>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>>cпособом?
>
>Посмотрите в сторону policy
Чуток конкретизируйте (примером или на словах) пожайлуста.

"Аналог ipfw lookup tables в IOS"
Отправлено Eduard_k , 16-Янв-09 14:04

>[оверквотинг удален]
>>>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>>>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>>>меняя правил и их последовательности в фаерволе.
>>>
>>>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>>>cпособом?
>>
>>Посмотрите в сторону policy
>
>Чуток конкретизируйте (примером или на словах) пожайлуста.
PBR тут не поможет нет.
Насколько я понял вопрос вам поможет функционал object-group
Пример:
object-group network XXX
10.1.1.1 255.255.255.255
ip access-list extendet test
permit ip any object-group XXX
В IOS он к сожалению появился недавно, если память мне не изменяет с 14.4(20)Т

"Аналог ipfw lookup tables в IOS"
Отправлено Eduard_k , 16-Янв-09 15:35

>В IOS он к сожалению появился недавно, если память мне не изменяет
>с 14.4(20)Т
ой, очепятка, с 12.4(20)Т конечно.

"Аналог ipfw lookup tables в IOS"
Отправлено kabiolskiy , 16-Янв-09 18:47

>
>>В IOS он к сожалению появился недавно, если память мне не изменяет
>>с 14.4(20)Т
>
>ой, очепятка, с 12.4(20)Т конечно.
Спасибо. Проверю отпишусь.