форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ACL на рутере cisco с nat"

Сообщение от slaynew (ok) on 07-Апр-07, 08:40

Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен PAT. Задача сделать чтобы из вне все было закрыто, а юзеры из локалки наоборот все видели в инете. Если сделать acl который будет рубить все (deny ip any any), то не будет работать и сам PAT. Неужели на циске нельзя настроить как в линуксовом iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT? На данный момент сделал костыльный ACL, который режет только явно открытые сервисы на циске - telnet и icmp echo. Но это явно неправильно. Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик из вне только для сессий, открытых выходящим пакетом. Но при этом не будет работать часть протоколов, таких как FTP в активном режиме, т.к. ответ от FTP идет не на порт, которым была открыта сессия (использовать только passive ftp не подходит). Подскажите как грамотно написать acl для моего случая. interface FastEthernet0/0 description to_lan ip address 10.10.10.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/1/0 description to_inet ip address x.x.x.1 255.255.255.252 ip access-group 101 in ip nat outside no fair-queue ! ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.2 ! ip nat inside source list 1 interface Serial0/1/0 overload ! access-list 1 permit 10.10.10.0 0.0.0.255 access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply access-list 101 deny icmp any any access-list 101 deny tcp any any eq telnet access-list 101 permit ip any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ACL на рутере cisco с nat"

Сообщение от Изгой (??) on 09-Апр-07, 10:15

>Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен >PAT. Задача сделать чтобы из вне все было закрыто, а юзеры >из локалки наоборот все видели в инете. Если сделать acl который >будет рубить все (deny ip any any), то не будет работать >и сам PAT. Неужели на циске нельзя настроить как в линуксовом >iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT? > >На данный момент сделал костыльный ACL, который режет только явно открытые сервисы >на циске - telnet и icmp echo. Но это явно неправильно. >Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик >из вне только для сессий, открытых выходящим пакетом. Но при этом >не будет работать часть протоколов, таких как FTP в активном режиме, >т.к. ответ от FTP идет не на порт, которым была открыта >сессия (использовать только passive ftp не подходит). > >Подскажите как грамотно написать acl для моего случая. > >interface FastEthernet0/0 >description to_lan >ip address 10.10.10.1 255.255.255.0 >ip nat inside >duplex auto >speed auto >! >interface Serial0/1/0 >description to_inet >ip address x.x.x.1 255.255.255.252 >ip access-group 101 in >ip nat outside >no fair-queue >! >ip classless >ip route 0.0.0.0 0.0.0.0 x.x.x.2 >! >ip nat inside source list 1 interface Serial0/1/0 overload >! >access-list 1 permit 10.10.10.0 0.0.0.255 >access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply >access-list 101 deny icmp any any >access-list 101 deny tcp any any eq telnet >access-list 101 permit ip any any Грамотно , наверно всё таки поднять на кошке CBAC , а впринципе чтоб грамотно написать акл надо знать что вы хотите предоставить пользователям , но в обычном акл нельз отследить udp только TCP , прописывать придёться ручками всё

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]