URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23200
[ Назад ]

Исходное сообщение
"настройка зоны ZBF"
Отправлено Roma , 16-Окт-11 07:52

Здравствуйте!
Я новичок в циске и не могу разобраться
нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела
вот что настроено

class-map type inspect match-all EX
match protocol icmp
match protocol telnet
match protocol http
match protocol tcp
match protocol udp
match protocol ftp
!
policy-map type inspect InsideToOutSide
class type inspect EX
inspect
!
!
!
zone security Inside
zone security Outside
zone-pair security InsideToOutside source Inside destination Outside
service-policy type inspect InsideToOutSide
!
interface FastEthernet0/0
ip address 79.199.200.1 255.255.255.0
zone-member security Outside
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
zone-member security Inside
ip nat inside
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
!
interface Serial0/2/1
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
version 2
network 79.0.0.0
network 192.168.0.0
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
ip classless
!
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 2 permit 192.168.0.0 0.0.0.255
access-list 5 permit 192.168.0.0 0.0.0.255

Содержание

настройка зоны ZBF,Алексей, 12:20 , 16-Окт-11
- настройка зоны ZBF,Roma, 12:27 , 16-Окт-11
- настройка зоны ZBF,Roma, 15:38 , 16-Окт-11
  - настройка зоны ZBF,Алексей, 16:04 , 16-Окт-11
    - настройка зоны ZBF,Roma, 16:11 , 16-Окт-11
      - настройка зоны ZBF,Алексей, 16:52 , 16-Окт-11
        
        настройка зоны ZBF,Алексей, 16:56 , 16-Окт-11
        настройка зоны ZBF,Roma, 16:56 , 16-Окт-11
        
        настройка зоны ZBF,Алексей, 11:51 , 17-Окт-11

Сообщения в этом обсуждении

"настройка зоны ZBF"
Отправлено Алексей , 16-Окт-11 12:20

> Здравствуйте!
> Я новичок в циске и не могу разобраться
> нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела
1. Определим зоны безопасности
----------------------------------------------
   zone security out-zone
   zone security in-zone
2. Определим интерфейсы в зоны
----------------------------------------------
interface Vlan 1
    zone-member security in-zone
  interface Dialer 0
    zone-member security out-zone
----------------------------------------------
3.Определеним протоколы по которым  разрешен доступ в  интернет

class-map type inspect match-any insp-traffic
         match protocol icmp
         match protocol smtp
          match protocol pop3
         match protocol ftp
----------------------------------------------
4. Создадим политику
policy-map type inspect mypolicy
   class type inspect insp-traffic
   inspect
----------------------------------------------
5.Создадим цепочку правил inside -> outside

zone-pair security in-out source in-zone dest out-zone
  service-policy type inspect mypolicy

Вот кратенькая шпаргалка.
Только обратите, что интерфейсы у Вас будут свои (не Vlan b Dialer).
А вообще читайте доки, разбирайтесь. Все есть. Да и на форуме темя не однократно поднималась.

"настройка зоны ZBF"
Отправлено Roma , 16-Окт-11 12:27

кажется нашел ошибку - у меня class-map c логикой AND
спасибо, буду пробовать

"настройка зоны ZBF"
Отправлено Roma , 16-Окт-11 15:38

не помогло, все также не пропускает внутреннюю сеть к внешней

"настройка зоны ZBF"
Отправлено Алексей , 16-Окт-11 16:04

> не помогло, все также не пропускает внутреннюю сеть к внешней
А что у Вас с этим вот ?
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload

"настройка зоны ZBF"
Отправлено Roma , 16-Окт-11 16:11

> ip nat inside source list 101 interface FastEthernet0/0 overload
это удалил
> ip nat inside source list 2 interface FastEthernet0/0 overload
это для NAT

"настройка зоны ZBF"
Отправлено Алексей , 16-Окт-11 16:52

>> ip nat inside source list 101 interface FastEthernet0/0 overload
> это удалил
>> ip nat inside source list 2 interface FastEthernet0/0 overload
> это для NAT
Да понятно что для нат..
Хорошо, а без настройки ZBF все работает?
Что за модель железки?
Уверены, что LAN интерфейс fa0/1, а не Vlan?

"настройка зоны ZBF"
Отправлено Алексей , 16-Окт-11 16:56

Да и что с маршрутизацие то?

"настройка зоны ZBF"
Отправлено Roma , 16-Окт-11 16:56

> Хорошо, а без настройки ZBF все работает?
да все работает
> Уверены, что LAN интерфейс fa0/1, а не Vlan?
точно

"настройка зоны ZBF"
Отправлено Алексей , 17-Окт-11 11:51

> да все работает
>> Уверены, что LAN интерфейс fa0/1, а не Vlan?
> точно
Может в IOS дело. Вы так и не сказали какой.
Вот еще "шпаргалка"
1.  зоны безопасности
zone security SAFE
  description LAN
zone security WILD
  description WAN
2. интерфейсы в зоны
interface Dialer 0
  zone-member security WILD
interface Vlan 1
  zone-member security SAFE
3.определеним протоколы по которым  разрешен доступ в  интернет,
class-map type inspect match-any IN2OUT
  match protocol icmp
  match protocol http
  match protocol tcp
  --- + что еще надо
4. создание политики
policy-map type inspect IN2OUT
  class type inspect IN2OUT
  inspect
policy-map type inspect OUT2IN
   class class-default
   drop
policy-map type inspect ROUTER
  class class-default
  pass

5.создаем цепочку inside -> outside
zone-pair security IN2OUT source SAFE destination WILD
   service-policy type inspect IN2OUT
zone-pair security OUT2IN source WILD destination SAFE
   service-policy type inspect OUT2IN
zone-pair security SAFE-ROUTER source SAFE destination self
   service-policy type inspect ROUTER
zone-pair security ROUTER-SAFE source self destination SAFE
  service-policy type inspect ROUTER
Все делал сам и все работало. Разбирался.