 Правила для исходящих соединений по порту,  absinth1985, 30-Окт-13, 14:05 [смотреть все]Здравствуйте!
Не гуру в данной области, увы.
С давних времён примерно один и тот же конфиг.
Выдержка:
ip access-list extended infOutLocal
permit tcp host x.x.x.x any eq smtp
deny tcp any any eq smtp
......
Я думаю, объяснять зачем, не нужно.
Сейчас понадобилось, чтобы любой хост из внутренней сети мог работать на 25 порту с заданным. Сделали:
ip access-list extended infOutLocal
permit tcp host x.x.x.x any eq smtp
permit tcp any host y.y.y.y eq smtp
deny tcp any any eq smtp
......
Однако не проходит. sh access-list показывает увеличение значения счётчика на deny.Возможно, вопрос глупый, но ЧЯДНТ?
|
- Правила для исходящих соединений по порту, Алексей, 14:17 , 30-Окт-13 (1)
> ip access-list extended infOutLocal
> permit tcp host x.x.x.x any eq smtp
> permit tcp any host y.y.y.y eq smtp
> deny tcp any any eq smtp
> ......
> Однако не проходит. sh access-list показывает увеличение значения счётчика на deny.
> Возможно, вопрос глупый, но ЧЯДНТ?А он у Вас in или Out?
- Правила для исходящих соединений по порту, absinth1985, 14:33 , 30-Окт-13 (2)
>> ip access-list extended infOutLocal
>> permit tcp host x.x.x.x any eq smtp
>> permit tcp any host y.y.y.y eq smtp
>> deny tcp any any eq smtp
>> ......
>> Однако не проходит. sh access-list показывает увеличение значения счётчика на deny.
>> Возможно, вопрос глупый, но ЧЯДНТ?
> А он у Вас in или Out?interface Vlan1
description $ES_LAN$
ip address x.x.x.z 255.255.255.0
ip access-group infOutLocal in
Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким портам.
ip access-list extended infOutLocal
permit tcp host x.x.x.x any eq smtp
permit ip any host y.y.y.y
deny tcp any any eq smtp
...
Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny.
- Правила для исходящих соединений по порту, Алексей, 15:00 , 30-Окт-13 (3)
> Строго говоря, нужно, чтобы на заданный IP y.y.y.y трафик проходил по нескольким
> портам.
> ip access-list extended infOutLocal
> permit tcp host x.x.x.x any eq smtp
> permit ip any host y.y.y.y
> deny tcp any any eq smtp
> ...
> Тоже не "прокатывает", telnet y.y.y.y на 25 порт уходит в deny.Ну так описываете, что Вам нужно:
remark PERMIT DOMAIN NAME SYSTEM
permit udp хост_или_локлка any eq domain
remark PERMIT ALL POCHTA
permit tcp хост_или_локлка any eq pop3
permit tcp хост_или_локлка any eq smtp
.....
.....
в конце
deny ip a a
- Правила для исходящих соединений по порту, absinth1985, 15:55 , 30-Окт-13 (4)
> Ну так описываете, что Вам нужно:
> remark PERMIT DOMAIN NAME SYSTEM
> permit udp хост_или_локлка any eq domain
> remark PERMIT ALL POCHTA
> permit tcp хост_или_локлка any eq pop3
> permit tcp хост_или_локлка any eq smtp
> .....
> .....
> в конце
> deny ip a a Мне кажется, или вы написали правила, в соответствии с которыми хост_или_локалка изнутри имеют доступ наружу к любому хосту по соответствующему порту? Так не получится. Нужно, чтобы любой произвольный хост_или_локалка (any) имели доступ только к конкретному хосту по указанным портам.
В конце deny ip a a и так есть, но дело в том, что есть некоторые хосты, для которых прописаны правила по типу
permit ip хост any
При этом нужно "выше" задать правило, исключающее для всех, кроме одного сервера, доступ к smtp. То есть сейчас:
ip access-list extended infOutLocal permit tcp host x.x.x.x any eq smtp
permit tcp any host y.y.y.y eq smtp - не работает (а надо)
permit ip any host y.y.y.y - тоже не помогает (доступа по SMTP нет, как будто следующее правило написано выше данного)
deny tcp any any eq smtp
....
permit tcp any host z.z.z.z eq 3389 - работает (для примера)
....
permit ip x.x.x.a any
permit ip x.x.x.b any
...
deny ip any any И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения. Может быть, я туплю и что-то неправильно понимаю...
- Правила для исходящих соединений по порту, Andrey, 18:24 , 30-Окт-13 (5)
>[оверквотинг удален]
> ....
> permit tcp any host z.z.z.z eq 3389 - работает (для примера)
> ....
> permit ip x.x.x.a any
> permit ip x.x.x.b any
> ...
> deny ip any any
> И, крайне желательно не сильно меняя конф, добавить возможность подключения по SMTP
> к 2 конкретно указанным IP, находящимся "снаружи", без конкретизации инициатора подключения.
> Может быть, я туплю и что-то неправильно понимаю...Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к внешним IP (если я правильно понял из вашего описания). Это делается немного другим способом.
Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где у вас внешний интерфейс, а где внутренний.
И access-list покажите в выводе show ip access-list infOutLocal а не при выводе sh run.
- Правила для исходящих соединений по порту, absinth1985, 18:40 , 30-Окт-13 (6)
> Покажите более полный конфиг. Скорее всего вам нужно NAT-ить запросы пользователей к
> внешним IP (если я правильно понял из вашего описания). Это делается
> немного другим способом.
> Если хотите скрыть IP - скрывайте последние 2 октета. Сложно гадать где
> у вас внешний интерфейс, а где внутренний.
> И access-list покажите в выводе show ip access-list infOutLocal а не при
> выводе sh run.NAT-ить ничего не нужно. Как это делать я знаю :)
Что странно, заработало то, что я с самого начала пробовал:
ip access-list extended infOutLocal
permit tcp host 192.168.0.2 any eq smtp
permit ip any host 80......
deny tcp any any eq smtp
... Но заработало после перезапуска циски, что странно. До этого - ни в какую.
Соответственно правилам:
1) доступ наружу через smtp только одному локальному серверу
2) доступ наружу всем локальным хостам наружу по любым портам к конкретному IP
3) deny кому угодно smtp наружу
4) и т.д.
Почему не работало до перезапуска - вот это вопрос. Спасибо за помощь!
|
Версия для распечатки
