URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20158
[ Назад ]

Исходное сообщение
"Помогите написать access-list"

Отправлено oper2000 , 03-Дек-09 16:01 
Подскажите, как грамотно написать access-list для такой задачи:

Есть cisco2811, смотрит интерфейсом FastEthernet0/0 на провайдера со статическим адресом
ХXX.141.200.134, вторым интерфейсом смотрит в локалку. Поднят nat, из локальной сети (192.168.0.0/16) клиенты ходят через этот маршрутизатор в Интернет. Внутри сети есть 2 сервера. На одном (192.168.1.10) web-сервер, к которому нужно открыть доступ со всего интернета, на другом (192.168.1.5) - сервер, к которому нужно разрешить доступ из интернета по порту 22 только с адреса xxx.xxx.xxx.xxx.
Сейчас в конфиге:

ip nat inside source list 100 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable
ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable

access-list 100 permit ip 192.168.0.0 0.0.255.255 any

При этом клиенты из локалки выходят в интернет, и с любых адресов из интернета доступны и 80 и 22 порт внутренних серверов. Что еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 порт только с  xxx.xxx.xxx.xxx.


Содержание

Сообщения в этом обсуждении
"Помогите написать access-list"
Отправлено Александр , 03-Дек-09 16:11 
>[оверквотинг удален]
>ip nat inside source list 100 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable
>ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable
>
>access-list 100 permit ip 192.168.0.0 0.0.255.255 any
>
>При этом клиенты из локалки выходят в интернет, и с любых адресов
>из интернета доступны и 80 и 22 порт внутренних серверов. Что
>еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22
>порт только с  xxx.xxx.xxx.xxx.

access-list какой-нибудь на outside есть?
допишите туда правила для доступа от определенного источника на 22 порт на outside
другим закройте.



"Помогите написать access-list"
Отправлено Николай , 03-Дек-09 16:18 
>[оверквотинг удален]
>ip nat inside source list 100 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable
>ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable
>
>access-list 100 permit ip 192.168.0.0 0.0.255.255 any
>
>При этом клиенты из локалки выходят в интернет, и с любых адресов
>из интернета доступны и 80 и 22 порт внутренних серверов. Что
>еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22
>порт только с  xxx.xxx.xxx.xxx.

ip access-list ext ssh-orig-ip
permit tcp host xxx.xxx.xxx.xxx host XXX.141.200.134 eq 22
deny tcp any any eq 22
permit ip any any

int fa 0/0
ip access-group ssh-orig-ip in