- помогите многоуважаемые Гуру начинающему ,
 Eduard_k, 15:50 , 27-Июл-05 (1)>подскажите плз будет ли это работать - боюсь пока заливать в циску,
>
>интересуют куски где на внутренний сервак 192.168.0.101 пробрасываются
>четыре порта из внешней сети но только для IP: YYY.YYY.YYY.YYY.
>опасаюсь не закрыл ли я лишнего - тут ещё VoIP_CCME есть,и VPN.
>
>
> !
>version 12.3
>service timestamps debug datetime localtime show-timezone
>service timestamps log datetime localtime show-timezone
>no service password-encryption
>!
>hostname Cisco2621XM
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 10000 debugging
>enable secret 5 *********************
>!
>username ******* password 0 *******
>username ******* password 0 *******
>clock timezone MSK 3
>clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
>
>no network-clock-participate slot 1
>no network-clock-participate wic 0
>aaa new-model
>!
>!
>no ip dhcp conflict logging
>!
>!
>interface Loopback0
> ip address 10.248.0.135 255.255.255.255
>!
>interface FastEthernet0/0
> ip address XXX.XXX.XXX.XXX 255.255.255.252
> ip access-group 101 in
> ip nat outside
> duplex auto
> speed auto
>!
>interface FastEthernet0/1
> ip address 192.168.0.254 255.255.255.0
> ip nat inside
> duplex auto
> speed auto
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
>no ip http server
>ip nat inside source list 1 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.168.0.101 35899 XXX.XXX.XXX.XXX 35899 extendable no-alias
>
>ip nat inside source static tcp 192.168.0.101 1433 XXX.XXX.XXX.XXX 1433 extendable no-alias
>
>ip nat inside source static udp 192.168.0.101 1434 XXX.XXX.XXX.XXX 1434 extendable no-alias
>
>ip nat inside source static tcp 192.168.0.101 4850 XXX.XXX.XXX.XXX 4850 extendable no-alias
>
>!
>!
>access-list 1 permit 192.168.0.0 0.0.0.255
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 35899 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 35899
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 1433 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 1433
>ip access list 101 permit udp YYY.YYY.YYY.YYY 0.0.0.3 eq 1434 XXX.XXX.XXX.XXX
>ip access list 101 deny udp any any eq 1434
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 4850 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 4850
>access-list 101 deny ip host 194.67.57.26 any
>access-list 101 deny ip host 194.67.27.113 any
>access-list 101 deny ip host 194.67.27.125 any
>access-list 101 permit ip any any
>no cdp log mismatch duplex
>!
>tftp-server flash:CP7902010200SCCP031023A.sbin
>tftp-server flash:P00403020214.bin
>tftp-server flash:CP7905010200SCCP031023A.sbin
>!
>!
>!
>line con 0
>line aux 0
> modem InOut
>line vty 0 4
> access-class 89 in
>!
>ntp clock-period 17180042
>ntp source Loopback0
>ntp server 10.0.0.1
>!
>!
>end Работать то оно будет, но смысл этого листа...
Вы выставляете сиквел в интернет ограничивая доступ только акцесс-листом, а если злоумышленник подменит IP? к тому же
access-list 101 permit ip any any
в конце ... надо разрешать только необходимое, остальное закрывать, а насчет SQL, может лучше ipsec - ом его защитить.
- помогите многоуважаемые Гуру начинающему , Чайник, 10:37 , 29-Июл-05 (2)
спасибо огромное - очень надеялся что оно будет работать :-)))
access-list 101 permit ip any any в конце вообще убрать?
но тогда записать пермит для www,smtp,pop3,и т.д.?
то есть по примерам посмотреть как у людей общий АКЛ сделан?
спасибо ещё раз.
|
Версия для распечатки
помогите многоуважаемые Гуру начинающему , 
