forum.opennet.ru - "Как корректно настроить файервол в 2503" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как корректно настроить файервол в 2503"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как корректно настроить файервол в 2503"
Сообщение от MCat on 15-Ноя-04, 04:08 (MSK)
При конфигурировании встроеного файервола в цыске 2503(нат включён)не удаётся получить доступ в сетку извне - кричит, что при включённом нате доступа не будет.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Как корректно настроить файервол в 2503, Сайко, 09:26 , 15-Ноя-04, (1)
- Как корректно настроить файервол в 2503, MCat, 11:01 , 15-Ноя-04, (2)
  - Как корректно настроить файервол в 2503, Сайко, 14:53 , 15-Ноя-04, (3)
    - Как корректно настроить файервол в 2503, sh_, 15:13 , 15-Ноя-04, (4)
    - Как корректно настроить файервол в 2503, MCat, 01:32 , 16-Ноя-04, (5)
      - Как корректно настроить файервол в 2503, Сайко, 11:45 , 17-Ноя-04, (6)
        
        Как корректно настроить файервол в 2503, MCat, 18:11 , 17-Ноя-04, (7)
        
        Как корректно настроить файервол в 2503, Сайко, 18:24 , 17-Ноя-04, (8)
        
        Как корректно настроить файервол в 2503, MCat, 08:19 , 19-Ноя-04, (9)
        
        Как корректно настроить файервол в 2503, MCat, 08:27 , 19-Ноя-04, (10)
        
        Как корректно настроить файервол в 2503, Сайко, 09:01 , 19-Ноя-04, (12)
        
        Как корректно настроить файервол в 2503, MCat, 06:45 , 20-Ноя-04, (13)
        
        Как корректно настроить файервол в 2503, Сайко, 09:00 , 19-Ноя-04, (11)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 15-Ноя-04, 09:26  (MSK)

Конфиг в студию!

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как корректно настроить файервол в 2503"

Сообщение от MCat (ok) on 15-Ноя-04, 11:01  (MSK)

>Конфиг в студию!
Вот собственно сам конфик:
!
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname CISCO_2503
!
enable password ******************
username No_Name password *****************
!
ip name-server 205.138.41.119
!
isdn switch-type basic-net3
!
ip subnet-zero
ip domain-lookup
ip routing
!
interface Dialer 1
description connected to Internet
ip unnumbered Ethernet 0
ip nat outside
no ip split-horizon
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer string 88087000025 class 56K
dialer hold-queue 10
dialer load-threshold 10
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname No_Name
ppp chap password ******************
ppp pap sent-username No_Name password **************
ppp multilink
no cdp enable
!
interface Ethernet 0
no shutdown
description connected to EthernetLAN
ip address 192.168.52.1 255.255.255.0
ip nat inside
no keepalive
!
interface Serial 0
no description
no ip address
shutdown
!
interface Serial 1
no description
no ip address
shutdown
!
interface BRI 0
no shutdown
description connected to Internet
no ip address
dialer rotary-group 1
!
map-class dialer 56K
dialer isdn speed 56
!
! Access Control List 1
!
no access-list 1
access-list 1 permit 192.168.52.0 0.0.0.255
access-list 1 permit 192.168.0.0 0.0.0.255
!
! Dialer Control List 1
!
no dialer-list 1
dialer-list 1 protocol ip permit
!
! Static NAT
!
!
ip nat translation timeout 86400
ip nat translation tcp-timeout 86400
ip nat translation udp-timeout 300
ip nat translation dns-timeout 60
ip nat translation finrst-timeout 60
ip nat inside source list 1 interface Dialer 1 overload
!
router rip
version 2
network 192.168.52.0
passive-interface Dialer 1
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 192.168.51.0 255.255.255.0 192.168.52.3
ip route 192.168.0.0 255.255.255.0 192.168.52.3
ip route 192.168.30.0 255.255.255.252 Ethernet 0 permanent
ip route 0.0.0.0 0.0.0.0 Dialer 1
no ip http server
snmp-server community public RO
snmp-server location MAIN_HEADEND
snmp-server contact root,support@koma.com
!
line console 0
exec-timeout 0 0
password ****************
login
transport input none
!
line vty 0 4
password ****************
login
!
! The following commands are not recognized by Cisco ConfigMaker
! and are therefore appended here.
!
no service single-slot-reload-enable
logging rate-limit console 10 except errors
no ip finger
no ip dhcp-client network-discovery
!
interface BRI 0
cdapi buffers regular 0
cdapi buffers raw 0
cdapi buffers large 0
!
interface Dialer 1
rate-limit output access-group 100 32000 8000 8000 conform-action set-prec-continue 4 exceed-action drop
rate-limit output access-group 101 32000 8000 8000 conform-action set-prec-continue 2 exceed-action drop
ip kerberos source-interface any
!
end
Пояснения:
Цыска стоит на запросном канале
Отдача через сат_роутер на линухе в сетке 0.0
192.168.51.0 255.255.255.0 - Офис 1
192.168.52.3 255.255.255.0 - Роутер_Фришный
192.168.0.0 255.255.255.0 - Офис 2
192.168.30.0 255.255.255.252 Ethernet 0 permanent - VPN подключения

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 15-Ноя-04, 14:53  (MSK)

У Вас NAT не работает или "встроенный файервол"?
Судя по конфигу NAT настроен правильно.
Какие комманды Вы добавляете - после которых у Вас cisco ругается?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Как корректно настроить файервол в 2503"

Сообщение от sh_ (??) on 15-Ноя-04, 15:13  (MSK)

Ну по идее снаружи к тебе во внутреннюю сеть никто и не должен попасть. Если ты хочешь открыть какие-либо IP адреса, чтобы они снаружи были видны - нужно статический нат для определенных портов прописать...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Как корректно настроить файервол в 2503"

Сообщение от MCat (ok) on 16-Ноя-04, 01:32  (MSK)

>У Вас NAT не работает или "встроенный файервол"?
>Судя по конфигу NAT настроен правильно.
>Какие комманды Вы добавляете - после которых у Вас cisco ругается?
Он мне не даёт включить файерволл (потому как НАТ включён - его причина)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 17-Ноя-04, 11:45  (MSK)

>Он мне не даёт включить файерволл (потому как НАТ включён - его
>причина)
Какую команду Вы вводите, и что cisco на это пишет?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Как корректно настроить файервол в 2503"

Сообщение от MCat (ok) on 17-Ноя-04, 18:11  (MSK)

>>Он мне не даёт включить файерволл (потому как НАТ включён - его
>>причина)
>Какую команду Вы вводите, и что cisco на это пишет?
Просто активирую файерволл в конфигмэйкере

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 17-Ноя-04, 18:24  (MSK)

Так это не cisco ругается, а конфигмайкер!
Что в итоге Вы хотите получить?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Как корректно настроить файервол в 2503"

Сообщение от MCat (??) on 19-Ноя-04, 08:19  (MSK)

>Так это не cisco ругается, а конфигмайкер!
>Что в итоге Вы хотите получить?
Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер - я хочу включить файервол и дать доступ по некоторым портам и протоколам извне (кроме того, что есть фришный файервол0

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Как корректно настроить файервол в 2503"

Сообщение от MCat (??) on 19-Ноя-04, 08:27  (MSK)

64 bytes from 192.168.***.1: icmp_seq=14 ttl=255 time=3.060 ms
64 bytes from 192.168.***.1: icmp_seq=15 ttl=255 time=2.968 ms
64 bytes from 192.168.***.1: icmp_seq=16 ttl=255 time=3.051 ms
64 bytes from 192.168.***.1: icmp_seq=17 ttl=255 time=3.031 ms
64 bytes from 192.168.***.1: icmp_seq=18 ttl=255 time=3.007 ms
64 bytes from 192.168.***.1: icmp_seq=19 ttl=255 time=3.059 ms
64 bytes from 192.168.***.1: icmp_seq=20 ttl=255 time=3.014 ms
64 bytes from 192.168.***.1: icmp_seq=21 ttl=255 time=3.097 ms
64 bytes from 192.168.***.1: icmp_seq=22 ttl=255 time=2.960 ms
64 bytes from 192.168.***.1: icmp_seq=23 ttl=255 time=2.902 ms
И ещё один вопрос: Нормально ли иметь такую задержку при пинговании цыски с роутера?  (находяться в одной стойке - включены между собой через 3COM 3300)

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 19-Ноя-04, 09:01  (MSK)

Менее четырех миллисекунд - это абсолютно нормально.
А если не секрет - сколько Вы расчитывали получить?

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Как корректно настроить файервол в 2503"

Сообщение от MCat (ok) on 20-Ноя-04, 06:45  (MSK)

>Менее четырех миллисекунд - это абсолютно нормально.
>А если не секрет - сколько Вы расчитывали получить?
Исходя из задержек в сети  - ну не более 1 мс

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Как корректно настроить файервол в 2503"

Сообщение от Сайко on 19-Ноя-04, 09:00  (MSK)

>Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер -
>я хочу включить файервол и дать доступ по некоторым портам и
>протоколам извне (кроме того, что есть фришный файервол0
Для того, чтобы разрешить доступ по некоторым портам достаточно прописать эти правила в ACL'ях и установить их на нужные Вам интерфейсы.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как корректно настроить файервол в 2503"
Сообщение от Сайко on 15-Ноя-04, 09:26 (MSK)
Конфиг в студию!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (ok) on 15-Ноя-04, 11:01 (MSK)
	>Конфиг в студию! Вот собственно сам конфик: ! service timestamps debug uptime service timestamps log uptime service password-encryption no service tcp-small-servers no service udp-small-servers ! hostname CISCO_2503 ! enable password **************** username No_Name password ************* ! ip name-server 205.138.41.119 ! isdn switch-type basic-net3 ! ip subnet-zero ip domain-lookup ip routing ! interface Dialer 1 description connected to Internet ip unnumbered Ethernet 0 ip nat outside no ip split-horizon encapsulation ppp dialer in-band dialer idle-timeout 60 dialer string 88087000025 class 56K dialer hold-queue 10 dialer load-threshold 10 dialer-group 1 ppp authentication chap pap callin ppp chap hostname No_Name ppp chap password ************** ppp pap sent-username No_Name password ********** ppp multilink no cdp enable ! interface Ethernet 0 no shutdown description connected to EthernetLAN ip address 192.168.52.1 255.255.255.0 ip nat inside no keepalive ! interface Serial 0 no description no ip address shutdown ! interface Serial 1 no description no ip address shutdown ! interface BRI 0 no shutdown description connected to Internet no ip address dialer rotary-group 1 ! map-class dialer 56K dialer isdn speed 56 ! ! Access Control List 1 ! no access-list 1 access-list 1 permit 192.168.52.0 0.0.0.255 access-list 1 permit 192.168.0.0 0.0.0.255 ! ! Dialer Control List 1 ! no dialer-list 1 dialer-list 1 protocol ip permit ! ! Static NAT ! ! ip nat translation timeout 86400 ip nat translation tcp-timeout 86400 ip nat translation udp-timeout 300 ip nat translation dns-timeout 60 ip nat translation finrst-timeout 60 ip nat inside source list 1 interface Dialer 1 overload ! router rip version 2 network 192.168.52.0 passive-interface Dialer 1 no auto-summary ! ! ip classless ! ! IP Static Routes ip route 192.168.51.0 255.255.255.0 192.168.52.3 ip route 192.168.0.0 255.255.255.0 192.168.52.3 ip route 192.168.30.0 255.255.255.252 Ethernet 0 permanent ip route 0.0.0.0 0.0.0.0 Dialer 1 no ip http server snmp-server community public RO snmp-server location MAIN_HEADEND snmp-server contact root,support@koma.com ! line console 0 exec-timeout 0 0 password ************ login transport input none ! line vty 0 4 password ************** login ! ! The following commands are not recognized by Cisco ConfigMaker ! and are therefore appended here. ! no service single-slot-reload-enable logging rate-limit console 10 except errors no ip finger no ip dhcp-client network-discovery ! interface BRI 0 cdapi buffers regular 0 cdapi buffers raw 0 cdapi buffers large 0 ! interface Dialer 1 rate-limit output access-group 100 32000 8000 8000 conform-action set-prec-continue 4 exceed-action drop rate-limit output access-group 101 32000 8000 8000 conform-action set-prec-continue 2 exceed-action drop ip kerberos source-interface any ! end Пояснения: Цыска стоит на запросном канале Отдача через сат_роутер на линухе в сетке 0.0 192.168.51.0 255.255.255.0 - Офис 1 192.168.52.3 255.255.255.0 - Роутер_Фришный 192.168.0.0 255.255.255.0 - Офис 2 192.168.30.0 255.255.255.252 Ethernet 0 permanent - VPN подключения
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Как корректно настроить файервол в 2503"
	Сообщение от Сайко on 15-Ноя-04, 14:53 (MSK)
	У Вас NAT не работает или "встроенный файервол"? Судя по конфигу NAT настроен правильно. Какие комманды Вы добавляете - после которых у Вас cisco ругается?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Как корректно настроить файервол в 2503"
	Сообщение от sh_ (??) on 15-Ноя-04, 15:13 (MSK)
	Ну по идее снаружи к тебе во внутреннюю сеть никто и не должен попасть. Если ты хочешь открыть какие-либо IP адреса, чтобы они снаружи были видны - нужно статический нат для определенных портов прописать...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (ok) on 16-Ноя-04, 01:32 (MSK)
	>У Вас NAT не работает или "встроенный файервол"? >Судя по конфигу NAT настроен правильно. >Какие комманды Вы добавляете - после которых у Вас cisco ругается? Он мне не даёт включить файерволл (потому как НАТ включён - его причина)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Как корректно настроить файервол в 2503"
	Сообщение от Сайко on 17-Ноя-04, 11:45 (MSK)
	>Он мне не даёт включить файерволл (потому как НАТ включён - его >причина) Какую команду Вы вводите, и что cisco на это пишет?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (ok) on 17-Ноя-04, 18:11 (MSK)
	>>Он мне не даёт включить файерволл (потому как НАТ включён - его >>причина) >Какую команду Вы вводите, и что cisco на это пишет? Просто активирую файерволл в конфигмэйкере
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Как корректно настроить файервол в 2503"
	Сообщение от Сайко on 17-Ноя-04, 18:24 (MSK)
	Так это не cisco ругается, а конфигмайкер! Что в итоге Вы хотите получить?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (??) on 19-Ноя-04, 08:19 (MSK)
	>Так это не cisco ругается, а конфигмайкер! >Что в итоге Вы хотите получить? Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер - я хочу включить файервол и дать доступ по некоторым портам и протоколам извне (кроме того, что есть фришный файервол0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (??) on 19-Ноя-04, 08:27 (MSK)
	64 bytes from 192.168.*.1: icmp_seq=14 ttl=255 time=3.060 ms 64 bytes from 192.168..1: icmp_seq=15 ttl=255 time=2.968 ms 64 bytes from 192.168..1: icmp_seq=16 ttl=255 time=3.051 ms 64 bytes from 192.168..1: icmp_seq=17 ttl=255 time=3.031 ms 64 bytes from 192.168..1: icmp_seq=18 ttl=255 time=3.007 ms 64 bytes from 192.168..1: icmp_seq=19 ttl=255 time=3.059 ms 64 bytes from 192.168..1: icmp_seq=20 ttl=255 time=3.014 ms 64 bytes from 192.168..1: icmp_seq=21 ttl=255 time=3.097 ms 64 bytes from 192.168..1: icmp_seq=22 ttl=255 time=2.960 ms 64 bytes from 192.168.*.1: icmp_seq=23 ttl=255 time=2.902 ms И ещё один вопрос: Нормально ли иметь такую задержку при пинговании цыски с роутера? (находяться в одной стойке - включены между собой через 3COM 3300)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Как корректно настроить файервол в 2503"
	Сообщение от Сайко on 19-Ноя-04, 09:01 (MSK)
	Менее четырех миллисекунд - это абсолютно нормально. А если не секрет - сколько Вы расчитывали получить?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Как корректно настроить файервол в 2503"
	Сообщение от MCat (ok) on 20-Ноя-04, 06:45 (MSK)
	>Менее четырех миллисекунд - это абсолютно нормально. >А если не секрет - сколько Вы расчитывали получить? Исходя из задержек в сети - ну не более 1 мс
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Как корректно настроить файервол в 2503"
	Сообщение от Сайко on 19-Ноя-04, 09:00 (MSK)
	>Для меня (чайника в цысках) одно что сам роутер, что конфигмэйкер - >я хочу включить файервол и дать доступ по некоторым портам и >протоколам извне (кроме того, что есть фришный файервол0 Для того, чтобы разрешить доступ по некоторым портам достаточно прописать эти правила в ACL'ях и установить их на нужные Вам интерфейсы.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх