 Cisco firewall,  sypersava, 22-Мрт-12, 10:50 [смотреть все]Добрый день всем. Прикупили железку cisco 2921,в основном для DMVPN между удаленными офисами, есть своя AS, несколько каналов к разным провайдерам. Есть желание ограничивать входящие подключения по IP или подсетям. Но в Cisco - access-list вешается на интерфейс. Попробовал такую конструкцию:
interface Loopback106
ip address 10.10.10.106 255.255.255.255
ip nat outside
ip access-group TERM_IN in
ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389 ip access-list standard TERM_IN
deny any 10.10.10.106 - реальный IP,
но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие люди, как мне организовать нужный функционал, не используя физические интерфейсы, а используя свои реальные IP. Хочу напрмер сделать один реальный IP - терминальный сервер, на него свои ACL входящие, другой реальный IP - корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
|
- Cisco firewall, Merridius, 13:49 , 22-Мрт-12 (1)
>[оверквотинг удален]
> ip access-group TERM_IN in
> ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389
> ip access-list standard TERM_IN
> deny any
> 10.10.10.106 - реальный IP,
> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
> терминальный сервер, на него свои ACL входящие, другой реальный IP -
> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.Если честно ничего не понял что вы хотите, но как минимум помотрите на свой ACL, который deny any any И вот еще что, ACL - это по сути stateless firewall. Если вам нужен statefull, то в IOS их два CBAC и ZBPFW.
- Cisco firewall, sypersava, 14:24 , 22-Мрт-12 (2)
>[оверквотинг удален]
>> 10.10.10.106 - реальный IP,
>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
>> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
>> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
>> терминальный сервер, на него свои ACL входящие, другой реальный IP -
>> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
> Если честно ничего не понял что вы хотите, но как минимум помотрите
> на свой ACL, который deny any any
> И вот еще что, ACL - это по сути stateless firewall. Если
> вам нужен statefull, то в IOS их два CBAC и ZBPFW. Ну вот именно, оно никого не денает. А должно бы. А оно нихочет.
- Cisco firewall, Merridius, 15:34 , 22-Мрт-12 (3)
Еще раз прочитал что вы в начале написали и сделал вывод - у вас каша в голове.
Сначала разберитесь какой трафик, откуда-куда должен идти, через какие интерфейсы. Далее определите в каких местах сети нужна фильтрация.>>> не используя физические интерфейсы, а используя свои реальные IP. Это вообще как понимать? Бред какой-то. >>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс Оно - это что? Видимо Policy Based Routing имеется ввиду? Если да, то чтобы заворачивал нужно сначала его (PBR) настроить)) Советую еще схему Вам нарисовать, вам же легче понять будет.
|
Версия для распечатки
