URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22094
[ Назад ]

Исходное сообщение
"Zone Based Firewall"
Отправлено Михаил , 30-Дек-10 15:40

Доброго всем и с наступающим.
Разбираюсь с ZBFW-лом.. Задача: дать Инет и почту.
Подскажите что не так в алгоритме настройки.
1.  зоны безопасности
zone security inside
description LAN
zone security outside
description Internet

2. интерфейсы в зоны
interface Dialer 0 (WAN)
  zone-member security outside
interface Vlan 1 (LAN)
  zone-member security inside

3.определеним протоколы по которым  разрешен доступ в  интернет,
class-map type inspect match-all insideclacc
     match protocol smtp
     match protocol pop3
     match protocol http
     match protocol dns
class-map type inspect match-all outsideclass
  match protocol smtp
     match protocol pop3
     match protocol http
     match protocol dns
4. создание политики
policy-map type inspect inpolicy
    class type inspect   insideclacc
     inspect
policy-map type inspect outpolicy
  class type inspect outsideclass
  inspect
5.создаем цепочку inside -> outside
zone-pair security in-out source inside destination outside
service-policy type inspect inpolicy
zone-pair security out-in source outside destination inside
  service-policy type inspect outpolicy

Содержание

Zone Based Firewall,aZL, 16:42 , 30-Дек-10
- Zone Based Firewall,Aleks305, 16:54 , 30-Дек-10
- Zone Based Firewall,Михаил, 09:28 , 31-Дек-10

Сообщения в этом обсуждении

"Zone Based Firewall"
Отправлено aZL , 30-Дек-10 16:42

Не едет?
Навскидку: вместо match-all - match any
А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там весьма всё четко расписано.

"Zone Based Firewall"
Отправлено Aleks305 , 30-Дек-10 16:54

> Не едет?
> Навскидку: вместо match-all - match any
> А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там
> весьма всё четко расписано.
ИЗ ИНЕТА в Lan должно быть все запрещено. Смело удаляйте второй class-map.
Первая политика у Вас будет мониторить соединения, записывать их в специальную таблицу, поэтому трафик инициированный запросами из LAN будет беспрепятственно возвращаться. Можно более гибко настроить период ожидания ответа на запросы.

"Zone Based Firewall"
Отправлено Михаил , 31-Дек-10 09:28

> Не едет?
> Навскидку: вместо match-all - match any
> А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там
> весьма всё четко расписано.
Да, спасибо...Разбираюсь...Правда там мануал с опечатками...Вот сделал как описано, все работает.
1. Определим зоны безопасности
----------------------------------------------
   zone security out-zone
   zone security in-zone
2. Определим интерфейсы в зоны
----------------------------------------------
interface Vlan 1
    zone-member security in-zone
  interface Dialer 0
    zone-member security out-zone
----------------------------------------------
3.Определеним протоколы по которым  разрешен доступ в  интернет

class-map type inspect match-any insp-traffic
         match protocol icmp
         match protocol smtp
         match protocol pop3
----------------------------------------------
4. Создадим политику
policy-map type inspect mypolicy
   class type inspect insp-traffic
   inspect
----------------------------------------------
5.Создадим цепочку правил inside -> outside

zone-pair security in-out source in-zone dest out-zone
  service-policy type inspect mypolicy