https://mobile.opennet.me/openforum/vsluhforumID6/23200.html Здравствуйте! <br>Я новичок в циске и не могу разобраться<br>нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела<br>вот что настроено<br><br><br>class-map type inspect match-all EX<br> match protocol icmp<br> match protocol telnet<br> match protocol http <br> match protocol tcp<br> match protocol udp<br> match protocol ftp<br>!<br>policy-map type inspect InsideToOutSide<br> class type inspect EX<br> inspect<br>!<br>!<br>!<br>zone security Inside<br>zone security Outside<br>zone-pair security InsideToOutside source Inside destination Outside<br> service-policy type inspect InsideToOutSide<br>!<br>interface FastEthernet0/0<br> ip address 79.199.200.1 255.255.255.0<br> zone-member security Outside<br> ip nat outside<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/1<br> ip address 192.168.0.1 255.255.255.0<br> zone-member security Inside<br> ip nat inside<br> duplex auto<br> speed auto<br>!<br>interface Serial0/2/0<br> no ip address<br> shutdown<br>!<br>interface Serial0/2/1<br> no ip address<br> shutdown<br>!<br>interface Vlan1<br> no ip address<br> shutdown<br>! https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#9 Mon, 17 Oct 2011 07:51:37 GMT &gt; да все работает <br>&gt;&gt; Уверены, что LAN интерфейс fa0/1, а не Vlan?<br>&gt; точно <br><br>Может в IOS дело. Вы так и не сказали какой. <br>Вот еще "шпаргалка"<br><br>1. зоны безопасности<br><br>zone security SAFE<br> description LAN<br>zone security WILD<br> description WAN<br><br>2. интерфейсы в зоны<br><br>interface Dialer 0<br> zone-member security WILD<br>interface Vlan 1<br> zone-member security SAFE<br><br>3.определеним протоколы по которым разрешен доступ в интернет,<br>class-map type inspect match-any IN2OUT<br> match protocol icmp<br> match protocol http<br> match protocol tcp<br> --- + что еще надо<br><br>4. создание политики<br><br>policy-map type inspect IN2OUT<br> class type inspect IN2OUT<br> inspect<br><br>policy-map type inspect OUT2IN<br> class class-default<br> drop<br><br>policy-map type inspect ROUTER<br> class class-default<br> pass<br><br><br>5.создаем цепочку inside -&gt; outside <br><br>zone-pair security IN2OUT source SAFE destination WILD<br> service-policy type inspect IN2OUT<br><br>zone-pair security OUT2IN source WILD destination SAFE<br> service-policy type https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#8 Sun, 16 Oct 2011 12:56:24 GMT &gt; Хорошо, а без настройки ZBF все работает?<br><br>да все работает<br>&gt; Уверены, что LAN интерфейс fa0/1, а не Vlan?<br><br>точно<br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#7 Sun, 16 Oct 2011 12:56:03 GMT Да и что с маршрутизацие то? <br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#6 Sun, 16 Oct 2011 12:52:03 GMT &gt;&gt; ip nat inside source list 101 interface FastEthernet0/0 overload <br>&gt; это удалил <br>&gt;&gt; ip nat inside source list 2 interface FastEthernet0/0 overload <br>&gt; это для NAT <br><br>Да понятно что для нат..<br>Хорошо, а без настройки ZBF все работает?<br>Что за модель железки?<br>Уверены, что LAN интерфейс fa0/1, а не Vlan?<br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#5 Sun, 16 Oct 2011 12:11:54 GMT &gt; ip nat inside source list 101 interface FastEthernet0/0 overload <br><br>это удалил <br><br>&gt; ip nat inside source list 2 interface FastEthernet0/0 overload <br><br>это для NAT<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#4 Sun, 16 Oct 2011 12:04:44 GMT &gt; не помогло, все также не пропускает внутреннюю сеть к внешней <br><br>А что у Вас с этим вот ?<br>ip nat inside source list 101 interface FastEthernet0/0 overload<br>ip nat inside source list 2 interface FastEthernet0/0 overload<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#3 Sun, 16 Oct 2011 11:38:18 GMT не помогло, все также не пропускает внутреннюю сеть к внешней<br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#2 Sun, 16 Oct 2011 08:27:16 GMT кажется нашел ошибку - у меня class-map c логикой AND<br>спасибо, буду пробовать <br> https://mobile.opennet.me/openforum/vsluhforumID6/23200.html#1 Sun, 16 Oct 2011 08:20:27 GMT &gt; Здравствуйте!<br>&gt; Я новичок в циске и не могу разобраться <br>&gt; нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела <br><br>1. Определим зоны безопасности<br>----------------------------------------------<br> zone security out-zone<br> zone security in-zone<br><br>2. Определим интерфейсы в зоны<br>---------------------------------------------- <br> interface Vlan 1<br> zone-member security in-zone<br> interface Dialer 0<br> zone-member security out-zone<br>----------------------------------------------<br>3.Определеним протоколы по которым разрешен доступ в интернет<br> <br>class-map type inspect match-any insp-traffic<br> match protocol icmp<br> match protocol smtp<br> match protocol pop3<br> match protocol ftp<br>----------------------------------------------<br>4. Создадим политику<br><br> policy-map type inspect mypolicy<br> class type inspect insp-traffic<br> inspect<br>----------------------------------------------<br>5.Создадим цепочку правил inside -&gt; outside <br> <br>zone-pair secu