URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23643
[ Назад ]

Исходное сообщение
"Cisco firewall"
Отправлено sypersava , 22-Мрт-12 10:50

Добрый день всем. Прикупили железку cisco 2921,в основном для DMVPN между удаленными офисами, есть своя AS, несколько каналов к разным провайдерам. Есть желание ограничивать входящие подключения по IP или подсетям. Но в Cisco - access-list вешается на интерфейс. Попробовал такую конструкцию:

interface Loopback106
ip address 10.10.10.106 255.255.255.255
ip nat outside
ip access-group TERM_IN in
ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389
ip access-list standard TERM_IN
deny any
10.10.10.106 - реальный IP,
но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие люди, как мне организовать нужный функционал, не используя физические интерфейсы, а используя свои реальные IP. Хочу напрмер сделать один реальный IP - терминальный сервер, на него свои ACL входящие, другой реальный IP - корпоративный портал, на него свои ACL входящие и т.д. Спасибо.

Содержание

Cisco firewall,Merridius, 13:49 , 22-Мрт-12
- Cisco firewall,sypersava, 14:24 , 22-Мрт-12
  - Cisco firewall,Merridius, 15:34 , 22-Мрт-12

Сообщения в этом обсуждении

"Cisco firewall"
Отправлено Merridius , 22-Мрт-12 13:49

>[оверквотинг удален]
> ip access-group TERM_IN in
> ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389
> ip access-list standard TERM_IN
> deny any
> 10.10.10.106 - реальный IP,
> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
> терминальный сервер, на него свои ACL входящие, другой реальный IP -
> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
Если честно ничего не понял что вы хотите, но как минимум помотрите на свой ACL, который deny any any
И вот еще что, ACL - это по сути stateless firewall. Если вам нужен statefull, то в IOS их два CBAC и ZBPFW.

"Cisco firewall"
Отправлено sypersava , 22-Мрт-12 14:24

>[оверквотинг удален]
>> 10.10.10.106 - реальный IP,
>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
>> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
>> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
>> терминальный сервер, на него свои ACL входящие, другой реальный IP -
>> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
> Если честно ничего не понял что вы хотите, но как минимум помотрите
> на свой ACL, который deny any any
> И вот еще что, ACL - это по сути stateless firewall. Если
> вам нужен statefull, то в IOS их два CBAC и ZBPFW.
Ну вот именно, оно никого не денает. А должно бы. А оно нихочет.

"Cisco firewall"
Отправлено Merridius , 22-Мрт-12 15:34

Еще раз прочитал что вы в начале написали и сделал вывод - у вас каша в голове.
Сначала разберитесь какой трафик, откуда-куда должен идти, через какие интерфейсы. Далее определите в каких местах сети нужна фильтрация.
>>> не используя физические интерфейсы, а используя свои реальные IP.
Это вообще как понимать? Бред какой-то.
>>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс
Оно - это что? Видимо Policy Based Routing имеется ввиду? Если да, то чтобы заворачивал нужно сначала его (PBR) настроить))
Советую еще схему Вам нарисовать, вам же легче понять будет.