>Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен >PAT. Задача сделать чтобы из вне все было закрыто, а юзеры >из локалки наоборот все видели в инете. Если сделать acl который >будет рубить все (deny ip any any), то не будет работать >и сам PAT. Неужели на циске нельзя настроить как в линуксовом >iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT? > >На данный момент сделал костыльный ACL, который режет только явно открытые сервисы >на циске - telnet и icmp echo. Но это явно неправильно. >Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик >из вне только для сессий, открытых выходящим пакетом. Но при этом >не будет работать часть протоколов, таких как FTP в активном режиме, >т.к. ответ от FTP идет не на порт, которым была открыта >сессия (использовать только passive ftp не подходит). > >Подскажите как грамотно написать acl для моего случая. > >interface FastEthernet0/0 >description to_lan >ip address 10.10.10.1 255.255.255.0 >ip nat inside >duplex auto >speed auto >! >interface Serial0/1/0 >description to_inet >ip address x.x.x.1 255.255.255.252 >ip access-group 101 in >ip nat outside >no fair-queue >! >ip classless >ip route 0.0.0.0 0.0.0.0 x.x.x.2 >! >ip nat inside source list 1 interface Serial0/1/0 overload >! >access-list 1 permit 10.10.10.0 0.0.0.255 >access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply >access-list 101 deny icmp any any >access-list 101 deny tcp any any eq telnet >access-list 101 permit ip any any Грамотно , наверно всё таки поднять на кошке CBAC , а впринципе чтоб грамотно написать акл надо знать что вы хотите предоставить пользователям , но в обычном акл нельз отследить udp только TCP , прописывать придёться ручками всё
|