The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Вопрос по route-map, !*! sizgiyaev, 25-Июн-08, 13:10  [смотреть все]
Здравствуйте.

Столкнулся с проблемкой устанавливая прокси.
Есть сеть:
                Интернет
                   |
                   |
                Firewall ---- DMZ(4.4.4.0)
                   |
                   | --- Proxy (3.3.3.3)
                   |
               Router Cisco 2600
                 /       \
                /         \
       LAN1(1.1.1.0)     LAN2 (2.2.2.0)

Задача в том чтобы перенаправить весь траффик на портах 80,443 и 21 через прокси из двух локалных сетей, с условием что этот трaффик направлен в интернет а не в DMZ1 или в одну из локальных сетей из другой.

Настройки маршрутизатора:

interface FastEthernet0/0 (Внутренний)
ip address 2.2.2.254 255.255.255.0 secondary
ip address 1.1.1.254 255.255.255.0
ip policy route-map gotoproxy

interface FastEthernet0/1 (Внешний)
ip address 3.3.3.1 255.255.255.240


access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq ftp
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq ftp
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp

route-map gotoproxy permit 10
match ip address 123 124 125 126
set ip next-hop 3.3.3.254 (Firewall)

route-map gotoproxy permit 20
match ip address 113 114
set ip next-hop 3.3.3.3 (Proxy)


В такой ситуации все работает прекрасно, проблема между локальными сетями:
Все обращения по данным портам между ними проходят через прокси.
Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не происходило?


Заранее благодарю за любую помощь
Сергей

Ответить | Сообщить модератору
  • Вопрос по route-map, !*! NetMan, 13:41 , 25-Июн-08 (1)
    >[оверквотинг удален]
    >
    >
    >В такой ситуации все работает прекрасно, проблема между локальными сетями:
    >Все обращения по данным портам между ними проходят через прокси.
    >Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не
    >происходило?
    >
    >
    >Заранее благодарю за любую помощь
    >Сергей

    Поправь access-list-ы:

    access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
    access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
    access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
    access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
    access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
    access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
    access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
    access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
    access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
    access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
    access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
    access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21

    Ответить | Сообщить модератору
    • Вопрос по route-map, !*! NetMan, 13:47 , 25-Июн-08 (2)
      Еще подкорректировать роут-мапы


      route-map gotoproxy permit 10
      match ip address 113 114
      set ip next-hop 3.3.3.3 (Proxy)

      route-map gotoproxy permit 20
      set ip next-hop 3.3.3.254 (Firewall)

      Ответить | Сообщить модератору
      • Вопрос по route-map, !*! NetMan, 13:52 , 25-Июн-08 (3)
        ДМЗ еще в аксес листах

        access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
        access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
        access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
        access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
        access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
        access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
        access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
        access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
        access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
        access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
        access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
        access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
        access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21

        Кажется все

        Ответить | Сообщить модератору
        • Вопрос по route-map, !*! sizgiyaev, 14:15 , 25-Июн-08 (4)
          >[оверквотинг удален]
          >access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
          >access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
          >access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
          >access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
          >access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
          >access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
          >access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
          >access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
          >
          >Кажется все

          Большое спасибо :)

          В такой ситации может роутемап пермит 20 вообще не нужен если дефолт роуте на фаирвалл?

          Ответить | Сообщить модератору
          • Вопрос по route-map, !*! NetMan, 14:19 , 25-Июн-08 (5)
            >[оверквотинг удален]
            >>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
            >>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
            >>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
            >>
            >>Кажется все
            >
            >Большое спасибо :)
            >
            >В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
            >роуте на фаирвалл?

            Не нужен :)

            Ответить | Сообщить модератору
            • Вопрос по route-map, !*! sizgiyaev, 14:56 , 25-Июн-08 (6)
              >[оверквотинг удален]
              >>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
              >>>
              >>>Кажется все
              >>
              >>Большое спасибо :)
              >>
              >>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
              >>роуте на фаирвалл?
              >
              >Не нужен :

              Спасибо :)

              Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру