OpenForum RSS: Помогите с ACL на IOS XE https://www.opennet.ru/openforum/vsluhforumID6/2297.html Lj,hsq ltym? xj pf yf[<br><br>Задача непосильно сложная для чайника, т.е. меня. Нужно взять роутер, воткнуть один провод от провайдера с интернетом (Gi0/0/1), второй шнурок от локальной сети (Gi0/0/2/) в свитч и далее по компам. Вооот. Настроился интернет и нат и даже есть интернет на компах. А нужно еще немного, ACL.<br><br>Такие ACL:<br>Чтобы из интернета на интерфейсе (Gi0/0/1) был открыт ssh и tcp/1883 для адреса 1.1.1.1/32. Всё.<br>А для компов остался интернет по ACL permit 80 443.<br><br>Короче не знаю куда что уже повесить. <br>Создал ACL для внешнего интерфейса:<br>[code]ip access-list extended gi1<br>permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 22<br>permit tcp host 1.1.1.1 host ip.Gi0.0.1 eq 1883<br>deny tcp any any<br>deny ip any any<br>[/code]<br><br>Применяю его на внешний интерфейс, правила работают, за исключением того, что я запретил доступ из локалки (deny tcp any any). Но где его разрешить, не понятно. Создам я другой acl и его надо применить на каком интерфейсе и в какую сторону?<br> Помогите с ACL на IOS XE (ShyLion) https://www.opennet.ru/openforum/vsluhforumID6/2297.html#1 Tue, 22 May 2018 05:01:41 GMT &gt;&gt; адреса 1.1.1.1/32. Всё.<br><br>Коллега, вы указываете сферический в вакууме IP адрес и непонятно где он в вашей сети и в ней ли вообще.<br><br>Кроме того, фильтровать аксес-листами на IOS не модно уже сто лет как. Модно использовать стейтфул фаервол Zone-Based Firewall, до него раньше был ip inspect.<br><br>Вот для затравки рыба:<br><br>[code]<br>ip inspect log drop-pkt<br>zone security LAN<br>zone security INET<br><br>object-group service IPSEC <br> esp<br> ahp<br> udp eq isakmp<br> udp eq non500-isakmp<br> gre<br><br>object-group service good_ICMP<br> icmp echo<br> icmp echo-reply<br> icmp parameter-problem<br> icmp unreachable<br> icmp source-quench<br> icmp traceroute<br> icmp time-exceeded<br><br>ip access-list extended zbfc_ICMP<br> permit object-group good_ICMP any any<br><br>class-map type inspect match-any zbfc_ICMP<br> match access-group name zbfc_ICMP<br><br>ip access-list extended zbfc_IPSEC<br> permit object-group IPSEC any any<br><br><br>class-map type inspect match-any zbfc_IPSEC<br> match access-group name zbfc_IPSEC<br><br>class-map type inspect match-any zbfc_INET_IN_SELF