The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Помогите с ACL на IOS XE"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Помогите с ACL на IOS XE"  +/
Сообщение от grishkov.e on 18-Май-18, 14:05 
Lj,hsq ltym? xj pf yf[

Задача непосильно сложная для чайника, т.е. меня. Нужно взять роутер, воткнуть один провод от провайдера с интернетом (Gi0/0/1), второй шнурок от локальной сети (Gi0/0/2/) в свитч и далее по компам. Вооот. Настроился интернет и нат и даже есть интернет на компах. А нужно еще немного, ACL.

Такие ACL:
Чтобы из интернета на интерфейсе (Gi0/0/1) был открыт ssh и tcp/1883 для адреса 1.1.1.1/32. Всё.
А для компов остался интернет по ACL permit 80 443.

Короче не знаю куда что уже повесить.
Создал ACL для внешнего интерфейса:

ip access-list extended gi1
permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 22
permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 1883
deny tcp any any
deny ip any any

Применяю его на внешний интерфейс, правила работают, за исключением того, что я запретил доступ из локалки (deny tcp any any). Но где его разрешить, не понятно. Создам я другой acl и его надо применить на каком интерфейсе и в какую сторону?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите с ACL на IOS XE"  +/
Сообщение от ShyLion (ok) on 22-Май-18, 08:01 
>> адреса 1.1.1.1/32. Всё.

Коллега, вы указываете сферический в вакууме IP адрес и непонятно где он в вашей сети и в ней ли вообще.

Кроме того, фильтровать аксес-листами на IOS не модно уже сто лет как. Модно использовать стейтфул фаервол Zone-Based Firewall, до него раньше был ip inspect.

Вот для затравки рыба:


ip inspect log drop-pkt
zone security LAN
zone security INET

object-group service IPSEC
esp
ahp
udp eq isakmp
udp eq non500-isakmp
gre

object-group service good_ICMP
icmp echo
icmp echo-reply
icmp parameter-problem
icmp unreachable
icmp source-quench
icmp traceroute
icmp time-exceeded

ip access-list extended zbfc_ICMP
permit object-group good_ICMP any any

class-map type inspect match-any zbfc_ICMP
match access-group name zbfc_ICMP

ip access-list extended zbfc_IPSEC
permit object-group IPSEC any any


class-map type inspect match-any zbfc_IPSEC
match access-group name zbfc_IPSEC

class-map type inspect match-any zbfc_INET_IN_SELF
match protocol ssh
match protocol ntp

policy-map type inspect zbfp_INET2LAN
class class-default
  drop

policy-map type inspect zbfp_INET2SELF
class zbfc_INET_IN_SELF
  pass
class zbfc_IPSEC
  pass
class zbfc_ICMP
  pass

class-map type inspect match-any zbfc_DROP_OUT
match protocol bittorrent
match protocol pptp
match protocol l2tp
!
class-map type inspect match-any zbfc_INSPECT_OUT
match protocol ftp
match protocol tcp
match protocol udp
match protocol icmp

policy-map type inspect zbfp_LAN2INET
class zbfc_DROP_OUT
  drop log
class zbfc_INSPECT_OUT
  inspect
class class-default
  pass

zone-pair security zp_INET2LAN source INET destination LAN
service-policy type inspect zbfp_INET2LAN

zone-pair security zp_INET2SELF source INET destination self
service-policy type inspect zbfp_INET2SELF

zone-pair security zp_LAN2INET source LAN destination INET
service-policy type inspect zbfp_LAN2INET

! interface Vlan1
!  zone-member security LAN
! interface TunXX
!  zone-member security LAN

! interface Dial1
!  zone-member security INET


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру