The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Индекс форумов
Составление сообщения

Исходное сообщение
"permit tcp any any established - unsupported SDM rule"
Отправлено Remy, 13-Май-09 16:06 
>>>:) А вы что хотите сделать?
>>
>>я хочу настроить элементарные правила работы на фаерволе.
>>если я правильно понял, чтобы пакеты приходили обратно необходимо правило:
>>permit tcp any any established
>
>это не так.

спасибо за ответ.
вы могли бы привести простейший пример правил, например разрешающий:
все на выход, а на вход, чтоб работали только определенные порты на которые прописан статический NAT, например 25.

сейчас у меня сделано так:

NAT
Standard IP access list 1
    10 permit 10.10.9.0, wildcard bits 0.0.0.255

Outgoing
Extended IP access list 100
    10 permit tcp host 10.10.9.252 any eq smtp (36433 matches)
    20 deny tcp any any eq smtp log
*default rules by Cisco
    30 deny ip 111.111.111.111 0.0.0.7 any (11 matches)
    40 deny ip host 255.255.255.255 any
    50 deny ip 127.0.0.0 0.255.255.255 any
    60 permit ip any any (2221189 matches)

Incoming
Extended IP access list 101
    80 permit tcp any host 111.111.111.111 eq smtp (16591 matches)
    90 permit tcp any host 111.111.111.111 eq 22 (380 matches)
    100 permit tcp any host 111.111.111.111 eq www
    110 permit tcp any host 111.111.111.111 eq 443 (3480 matches)
    120 permit tcp any host 111.111.111.111 eq 5551
    130 permit tcp any host 111.111.111.111 eq 5552 (7 matches)
    140 permit udp host 213.150.64.12 eq domain host 111.111.111.111 (66405 matches)
    150 permit udp host 213.150.65.122 eq domain host 111.111.111.111 (44466 matches)

*default rules by Cisco
    160 deny ip 10.10.9.0 0.0.0.255 any
    170 permit icmp any host 111.111.111.111 echo-reply (5 matches)
    180 permit icmp any host 111.111.111.111 time-exceeded (549 matches)
    190 permit icmp any host 111.111.111.111 unreachable (162 matches)
    200 deny ip 10.0.0.0 0.255.255.255 any
    210 deny ip 172.16.0.0 0.15.255.255 any
    220 deny ip 192.168.0.0 0.0.255.255 any
    230 deny ip 127.0.0.0 0.255.255.255 any
    240 deny ip host 255.255.255.255 any
    250 deny ip host 0.0.0.0 any

**правило о котором идет речь
    260 permit tcp any any established (2772270 matches)

    270 deny ip any any log (2914 matches)

Что не правильно здесь (все работает)? Как можно улучшить или упростить?
Почему Cisco говорит что правило permit tcp any any established - unsupported SDM rule
И блокирует управление firewall по web интерфейсу

Спасибо.

 

Ваше сообщение
Имя*:
EMail:
Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
 
При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру