forum.opennet.ru - "настройка зоны ZBF" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"настройка зоны ZBF"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"настройка зоны ZBF"	+/–
Сообщение от Roma (??) on 16-Окт-11, 07:52
Здравствуйте! Я новичок в циске и не могу разобраться нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела вот что настроено class-map type inspect match-all EX match protocol icmp match protocol telnet match protocol http match protocol tcp match protocol udp match protocol ftp ! policy-map type inspect InsideToOutSide class type inspect EX inspect ! ! ! zone security Inside zone security Outside zone-pair security InsideToOutside source Inside destination Outside service-policy type inspect InsideToOutSide ! interface FastEthernet0/0 ip address 79.199.200.1 255.255.255.0 zone-member security Outside ip nat outside duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.0.1 255.255.255.0 zone-member security Inside ip nat inside duplex auto speed auto ! interface Serial0/2/0 no ip address shutdown ! interface Serial0/2/1 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router rip version 2 network 79.0.0.0 network 192.168.0.0 ! ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/0 overload ip classless ! ! access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 2 permit 192.168.0.0 0.0.0.255 access-list 5 permit 192.168.0.0 0.0.0.255
Ответить \| Правка \| Cообщить модератору

Оглавление

настройка зоны ZBF, Алексей, 12:20 , 16-Окт-11, (1)

настройка зоны ZBF, Roma, 12:27 , 16-Окт-11, (2)
настройка зоны ZBF, Roma, 15:38 , 16-Окт-11, (3)

настройка зоны ZBF, Алексей, 16:04 , 16-Окт-11, (4)

настройка зоны ZBF, Roma, 16:11 , 16-Окт-11, (5)

настройка зоны ZBF, Алексей, 16:52 , 16-Окт-11, (6)

настройка зоны ZBF, Алексей, 16:56 , 16-Окт-11, (7)
настройка зоны ZBF, Roma, 16:56 , 16-Окт-11, (8)

настройка зоны ZBF, Алексей, 11:51 , 17-Окт-11, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "настройка зоны ZBF" +/–

Сообщение от Алексей (??) on 16-Окт-11, 12:20

> Здравствуйте!
> Я новичок в циске и не могу разобраться
> нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела
1. Определим зоны безопасности
----------------------------------------------
   zone security out-zone
   zone security in-zone
2. Определим интерфейсы в зоны
----------------------------------------------
interface Vlan 1
    zone-member security in-zone
  interface Dialer 0
    zone-member security out-zone
----------------------------------------------
3.Определеним протоколы по которым  разрешен доступ в  интернет

class-map type inspect match-any insp-traffic
         match protocol icmp
         match protocol smtp
          match protocol pop3
         match protocol ftp
----------------------------------------------
4. Создадим политику
policy-map type inspect mypolicy
   class type inspect insp-traffic
   inspect
----------------------------------------------
5.Создадим цепочку правил inside -> outside

zone-pair security in-out source in-zone dest out-zone
  service-policy type inspect mypolicy

Вот кратенькая шпаргалка.
Только обратите, что интерфейсы у Вас будут свои (не Vlan b Dialer).
А вообще читайте доки, разбирайтесь. Все есть. Да и на форуме темя не однократно поднималась.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "настройка зоны ZBF" +/–

Сообщение от Roma (??) on 16-Окт-11, 12:27

кажется нашел ошибку - у меня class-map c логикой AND
спасибо, буду пробовать

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "настройка зоны ZBF" +/–

Сообщение от Roma (??) on 16-Окт-11, 15:38

не помогло, все также не пропускает внутреннюю сеть к внешней

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "настройка зоны ZBF" +/–

Сообщение от Алексей (??) on 16-Окт-11, 16:04

> не помогло, все также не пропускает внутреннюю сеть к внешней
А что у Вас с этим вот ?
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "настройка зоны ZBF" +/–

Сообщение от Roma (??) on 16-Окт-11, 16:11

> ip nat inside source list 101 interface FastEthernet0/0 overload
это удалил
> ip nat inside source list 2 interface FastEthernet0/0 overload
это для NAT

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "настройка зоны ZBF" +/–

Сообщение от Алексей (??) on 16-Окт-11, 16:52

>> ip nat inside source list 101 interface FastEthernet0/0 overload
> это удалил
>> ip nat inside source list 2 interface FastEthernet0/0 overload
> это для NAT
Да понятно что для нат..
Хорошо, а без настройки ZBF все работает?
Что за модель железки?
Уверены, что LAN интерфейс fa0/1, а не Vlan?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "настройка зоны ZBF" +/–

Сообщение от Алексей (??) on 16-Окт-11, 16:56

Да и что с маршрутизацие то?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "настройка зоны ZBF" +/–

Сообщение от Roma (??) on 16-Окт-11, 16:56

> Хорошо, а без настройки ZBF все работает?
да все работает
> Уверены, что LAN интерфейс fa0/1, а не Vlan?
точно

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "настройка зоны ZBF" +/–

Сообщение от Алексей (??) on 17-Окт-11, 11:51

> да все работает
>> Уверены, что LAN интерфейс fa0/1, а не Vlan?
> точно
Может в IOS дело. Вы так и не сказали какой.
Вот еще "шпаргалка"
1.  зоны безопасности
zone security SAFE
  description LAN
zone security WILD
  description WAN
2. интерфейсы в зоны
interface Dialer 0
  zone-member security WILD
interface Vlan 1
  zone-member security SAFE
3.определеним протоколы по которым  разрешен доступ в  интернет,
class-map type inspect match-any IN2OUT
  match protocol icmp
  match protocol http
  match protocol tcp
  --- + что еще надо
4. создание политики
policy-map type inspect IN2OUT
  class type inspect IN2OUT
  inspect
policy-map type inspect OUT2IN
   class class-default
   drop
policy-map type inspect ROUTER
  class class-default
  pass

5.создаем цепочку inside -> outside
zone-pair security IN2OUT source SAFE destination WILD
   service-policy type inspect IN2OUT
zone-pair security OUT2IN source WILD destination SAFE
   service-policy type inspect OUT2IN
zone-pair security SAFE-ROUTER source SAFE destination self
   service-policy type inspect ROUTER
zone-pair security ROUTER-SAFE source self destination SAFE
  service-policy type inspect ROUTER
Все делал сам и все работало. Разбирался.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настройка зоны ZBF"	+/–
Сообщение от Алексей (??) on 16-Окт-11, 12:20
> Здравствуйте! > Я новичок в циске и не могу разобраться > нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела 1. Определим зоны безопасности ---------------------------------------------- zone security out-zone zone security in-zone 2. Определим интерфейсы в зоны ---------------------------------------------- interface Vlan 1 zone-member security in-zone interface Dialer 0 zone-member security out-zone ---------------------------------------------- 3.Определеним протоколы по которым разрешен доступ в интернет class-map type inspect match-any insp-traffic match protocol icmp match protocol smtp match protocol pop3 match protocol ftp ---------------------------------------------- 4. Создадим политику policy-map type inspect mypolicy class type inspect insp-traffic inspect ---------------------------------------------- 5.Создадим цепочку правил inside -> outside zone-pair security in-out source in-zone dest out-zone service-policy type inspect mypolicy Вот кратенькая шпаргалка. Только обратите, что интерфейсы у Вас будут свои (не Vlan b Dialer). А вообще читайте доки, разбирайтесь. Все есть. Да и на форуме темя не однократно поднималась.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "настройка зоны ZBF"	+/–
	Сообщение от Roma (??) on 16-Окт-11, 12:27
	кажется нашел ошибку - у меня class-map c логикой AND спасибо, буду пробовать
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "настройка зоны ZBF"	+/–
	Сообщение от Roma (??) on 16-Окт-11, 15:38
	не помогло, все также не пропускает внутреннюю сеть к внешней
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "настройка зоны ZBF"	+/–
	Сообщение от Алексей (??) on 16-Окт-11, 16:04
	> не помогло, все также не пропускает внутреннюю сеть к внешней А что у Вас с этим вот ? ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/0 overload
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "настройка зоны ZBF"	+/–
	Сообщение от Roma (??) on 16-Окт-11, 16:11
	> ip nat inside source list 101 interface FastEthernet0/0 overload это удалил > ip nat inside source list 2 interface FastEthernet0/0 overload это для NAT
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "настройка зоны ZBF"	+/–
	Сообщение от Алексей (??) on 16-Окт-11, 16:52
	>> ip nat inside source list 101 interface FastEthernet0/0 overload > это удалил >> ip nat inside source list 2 interface FastEthernet0/0 overload > это для NAT Да понятно что для нат.. Хорошо, а без настройки ZBF все работает? Что за модель железки? Уверены, что LAN интерфейс fa0/1, а не Vlan?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "настройка зоны ZBF"	+/–
	Сообщение от Алексей (??) on 16-Окт-11, 16:56
	Да и что с маршрутизацие то?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "настройка зоны ZBF"	+/–
	Сообщение от Roma (??) on 16-Окт-11, 16:56
	> Хорошо, а без настройки ZBF все работает? да все работает > Уверены, что LAN интерфейс fa0/1, а не Vlan? точно
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "настройка зоны ZBF"	+/–
	Сообщение от Алексей (??) on 17-Окт-11, 11:51
	> да все работает >> Уверены, что LAN интерфейс fa0/1, а не Vlan? > точно Может в IOS дело. Вы так и не сказали какой. Вот еще "шпаргалка" 1. зоны безопасности zone security SAFE description LAN zone security WILD description WAN 2. интерфейсы в зоны interface Dialer 0 zone-member security WILD interface Vlan 1 zone-member security SAFE 3.определеним протоколы по которым разрешен доступ в интернет, class-map type inspect match-any IN2OUT match protocol icmp match protocol http match protocol tcp --- + что еще надо 4. создание политики policy-map type inspect IN2OUT class type inspect IN2OUT inspect policy-map type inspect OUT2IN class class-default drop policy-map type inspect ROUTER class class-default pass 5.создаем цепочку inside -> outside zone-pair security IN2OUT source SAFE destination WILD service-policy type inspect IN2OUT zone-pair security OUT2IN source WILD destination SAFE service-policy type inspect OUT2IN zone-pair security SAFE-ROUTER source SAFE destination self service-policy type inspect ROUTER zone-pair security ROUTER-SAFE source self destination SAFE service-policy type inspect ROUTER Все делал сам и все работало. Разбирался.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору