форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Помогите написать access-list"		+/–
Сообщение от oper2000 on 03-Дек-09, 16:01
Подскажите, как грамотно написать access-list для такой задачи: Есть cisco2811, смотрит интерфейсом FastEthernet0/0 на провайдера со статическим адресом ХXX.141.200.134, вторым интерфейсом смотрит в локалку. Поднят nat, из локальной сети (192.168.0.0/16) клиенты ходят через этот маршрутизатор в Интернет. Внутри сети есть 2 сервера. На одном (192.168.1.10) web-сервер, к которому нужно открыть доступ со всего интернета, на другом (192.168.1.5) - сервер, к которому нужно разрешить доступ из интернета по порту 22 только с адреса xxx.xxx.xxx.xxx. Сейчас в конфиге: ip nat inside source list 100 interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable access-list 100 permit ip 192.168.0.0 0.0.255.255 any При этом клиенты из локалки выходят в интернет, и с любых адресов из интернета доступны и 80 и 22 порт внутренних серверов. Что еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 порт только с  xxx.xxx.xxx.xxx.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите написать access-list"		+/–
Сообщение от Александр (??) on 03-Дек-09, 16:11
>[оверквотинг удален] >ip nat inside source list 100 interface FastEthernet0/0 overload >ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable >ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable > >access-list 100 permit ip 192.168.0.0 0.0.255.255 any > >При этом клиенты из локалки выходят в интернет, и с любых адресов >из интернета доступны и 80 и 22 порт внутренних серверов. Что >еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 >порт только с  xxx.xxx.xxx.xxx. access-list какой-нибудь на outside есть? допишите туда правила для доступа от определенного источника на 22 порт на outside другим закройте.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите написать access-list"		+/–
Сообщение от Николай (??) on 03-Дек-09, 16:18
>[оверквотинг удален] >ip nat inside source list 100 interface FastEthernet0/0 overload >ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable >ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable > >access-list 100 permit ip 192.168.0.0 0.0.255.255 any > >При этом клиенты из локалки выходят в интернет, и с любых адресов >из интернета доступны и 80 и 22 порт внутренних серверов. Что >еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 >порт только с  xxx.xxx.xxx.xxx. ip access-list ext ssh-orig-ip permit tcp host xxx.xxx.xxx.xxx host XXX.141.200.134 eq 22 deny tcp any any eq 22 permit ip any any int fa 0/0 ip access-group ssh-orig-ip in
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема