https://slinkov.ru/openforum/vsluhforumID6/22094.html Доброго всем и с наступающим.<br>Разбираюсь с ZBFW-лом.. Задача: дать Инет и почту.<br>Подскажите что не так в алгоритме настройки. <br><br>1. зоны безопасности<br><br>zone security inside<br> description LAN<br>zone security outside<br> description Internet<br><br><br>2. интерфейсы в зоны<br><br>interface Dialer 0 (WAN)<br> zone-member security outside<br>interface Vlan 1 (LAN)<br> zone-member security inside<br><br><br>3.определеним протоколы по которым разрешен доступ в интернет,<br>class-map type inspect match-all insideclacc<br> match protocol smtp<br> match protocol pop3<br> match protocol http<br> match protocol dns<br>class-map type inspect match-all outsideclass<br> match protocol smtp<br> match protocol pop3<br> match protocol http<br> match protocol dns<br><br><br><br>4. создание политики<br><br> policy-map type inspect inpolicy<br> class type inspect insideclacc<br> inspect<br><br>policy-map type inspect outpolicy<br> class type inspect outsideclass<br> inspect<br><br>5.создаем цепочку inside -&gt; outside <br><br>zone-pair security in-out source https://slinkov.ru/openforum/vsluhforumID6/22094.html#3 Fri, 31 Dec 2010 06:28:46 GMT &gt; Не едет?<br>&gt; Навскидку: вместо match-all - match any <br>&gt; А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там <br>&gt; весьма всё четко расписано.<br><br>Да, спасибо...Разбираюсь...Правда там мануал с опечатками...Вот сделал как описано, все работает.<br><br>1. Определим зоны безопасности<br>----------------------------------------------<br> zone security out-zone<br> zone security in-zone<br><br>2. Определим интерфейсы в зоны<br>---------------------------------------------- <br> interface Vlan 1<br> zone-member security in-zone<br> interface Dialer 0<br> zone-member security out-zone<br>----------------------------------------------<br>3.Определеним протоколы по которым разрешен доступ в интернет<br> <br>class-map type inspect match-any insp-traffic<br> match protocol icmp<br> match protocol smtp<br> match protocol pop3<br>----------------------------------------------<br>4. Создадим политику<br><br> policy-map type inspect mypolicy<br> class type inspect insp-traffic<br> inspect<br>-------- https://slinkov.ru/openforum/vsluhforumID6/22094.html#2 Thu, 30 Dec 2010 13:54:34 GMT &gt; Не едет?<br>&gt; Навскидку: вместо match-all - match any <br>&gt; А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там <br>&gt; весьма всё четко расписано.<br><br>ИЗ ИНЕТА в Lan должно быть все запрещено. Смело удаляйте второй class-map. <br>Первая политика у Вас будет мониторить соединения, записывать их в специальную таблицу, поэтому трафик инициированный запросами из LAN будет беспрепятственно возвращаться. Можно более гибко настроить период ожидания ответа на запросы.<br> https://slinkov.ru/openforum/vsluhforumID6/22094.html#1 Thu, 30 Dec 2010 13:42:24 GMT Не едет?<br>Навскидку: вместо match-all - match any <br>А вообще, покурите Zone-Based Policy Firewall Release 12.4(6)T Technical Discussion, там весьма всё четко расписано.<br>