The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Помогите с ACL на IOS XE, !*! grishkov.e, 18-Май-18, 14:05  [смотреть все]
Lj,hsq ltym? xj pf yf[

Задача непосильно сложная для чайника, т.е. меня. Нужно взять роутер, воткнуть один провод от провайдера с интернетом (Gi0/0/1), второй шнурок от локальной сети (Gi0/0/2/) в свитч и далее по компам. Вооот. Настроился интернет и нат и даже есть интернет на компах. А нужно еще немного, ACL.

Такие ACL:
Чтобы из интернета на интерфейсе (Gi0/0/1) был открыт ssh и tcp/1883 для адреса 1.1.1.1/32. Всё.
А для компов остался интернет по ACL permit 80 443.

Короче не знаю куда что уже повесить.
Создал ACL для внешнего интерфейса:

ip access-list extended gi1
permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 22
permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 1883
deny tcp any any
deny ip any any

Применяю его на внешний интерфейс, правила работают, за исключением того, что я запретил доступ из локалки (deny tcp any any). Но где его разрешить, не понятно. Создам я другой acl и его надо применить на каком интерфейсе и в какую сторону?

Ответить | Сообщить модератору
  • Помогите с ACL на IOS XE, !*! ShyLion, 08:01 , 22-Май-18 (1)
    >> адреса 1.1.1.1/32. Всё.

    Коллега, вы указываете сферический в вакууме IP адрес и непонятно где он в вашей сети и в ней ли вообще.

    Кроме того, фильтровать аксес-листами на IOS не модно уже сто лет как. Модно использовать стейтфул фаервол Zone-Based Firewall, до него раньше был ip inspect.

    Вот для затравки рыба:


    ip inspect log drop-pkt
    zone security LAN
    zone security INET
    object-group service IPSEC 
     esp
     ahp
     udp eq isakmp
     udp eq non500-isakmp
     gre
    object-group service good_ICMP
     icmp echo
     icmp echo-reply
     icmp parameter-problem
     icmp unreachable
     icmp source-quench
     icmp traceroute
     icmp time-exceeded
    ip access-list extended zbfc_ICMP
     permit object-group good_ICMP any any
    class-map type inspect match-any zbfc_ICMP
     match access-group name zbfc_ICMP
    ip access-list extended zbfc_IPSEC
     permit object-group IPSEC any any

    class-map type inspect match-any zbfc_IPSEC
     match access-group name zbfc_IPSEC
    class-map type inspect match-any zbfc_INET_IN_SELF
     match protocol ssh
     match protocol ntp
    policy-map type inspect zbfp_INET2LAN
     class class-default
      drop
    policy-map type inspect zbfp_INET2SELF
     class zbfc_INET_IN_SELF
      pass
     class zbfc_IPSEC
      pass
     class zbfc_ICMP
      pass
    class-map type inspect match-any zbfc_DROP_OUT
     match protocol bittorrent
     match protocol pptp
     match protocol l2tp
    !
    class-map type inspect match-any zbfc_INSPECT_OUT
     match protocol ftp
     match protocol tcp
     match protocol udp
     match protocol icmp
    policy-map type inspect zbfp_LAN2INET
     class zbfc_DROP_OUT
      drop log
     class zbfc_INSPECT_OUT
      inspect
     class class-default
      pass
    zone-pair security zp_INET2LAN source INET destination LAN
     service-policy type inspect zbfp_INET2LAN
    zone-pair security zp_INET2SELF source INET destination self
     service-policy type inspect zbfp_INET2SELF
    zone-pair security zp_LAN2INET source LAN destination INET
     service-policy type inspect zbfp_LAN2INET
    ! interface Vlan1
    !  zone-member security LAN
    ! interface TunXX
    !  zone-member security LAN
    ! interface Dial1
    !  zone-member security INET

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру