The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco firewall"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Cisco firewall"  +/
Сообщение от sypersava (ok) on 22-Мрт-12, 10:50 
Добрый день всем. Прикупили железку cisco 2921,в основном для DMVPN между удаленными офисами, есть своя AS, несколько каналов к разным провайдерам. Есть желание ограничивать входящие подключения по IP или подсетям. Но в Cisco - access-list вешается на интерфейс. Попробовал такую конструкцию:


interface Loopback106
ip address 10.10.10.106 255.255.255.255
ip nat outside
ip access-group TERM_IN in

ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389

ip access-list standard TERM_IN
deny   any

10.10.10.106 - реальный IP,
но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие люди, как мне организовать нужный функционал, не используя физические интерфейсы, а используя свои реальные IP. Хочу напрмер сделать один реальный IP - терминальный сервер, на него свои ACL входящие, другой реальный IP - корпоративный портал, на него свои ACL входящие и т.д. Спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco firewall"  +/
Сообщение от Merridius (ok) on 22-Мрт-12, 13:49 
>[оверквотинг удален]
>  ip access-group TERM_IN in
> ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389
> ip access-list standard TERM_IN
>  deny   any
> 10.10.10.106 - реальный IP,
> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
> терминальный сервер, на него свои ACL входящие, другой реальный IP -
> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.

Если честно ничего не понял что вы хотите, но как минимум помотрите на свой ACL, который deny any any

И вот еще что, ACL - это по сути stateless firewall. Если вам нужен statefull, то в IOS их два CBAC и ZBPFW.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco firewall"  +/
Сообщение от sypersava (ok) on 22-Мрт-12, 14:24 
>[оверквотинг удален]
>> 10.10.10.106 - реальный IP,
>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие
>> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а
>> используя свои реальные IP. Хочу напрмер сделать один реальный IP -
>> терминальный сервер, на него свои ACL входящие, другой реальный IP -
>> корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
> Если честно ничего не понял что вы хотите, но как минимум помотрите
> на свой ACL, который deny any any
> И вот еще что, ACL - это по сути stateless firewall. Если
> вам нужен statefull, то в IOS их два CBAC и ZBPFW.

Ну вот именно, оно никого не денает. А должно бы. А оно нихочет.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco firewall"  +/
Сообщение от Merridius (ok) on 22-Мрт-12, 15:34 
Еще раз прочитал что вы в начале написали и сделал вывод - у вас каша в голове.
Сначала разберитесь какой трафик, откуда-куда должен идти, через какие интерфейсы. Далее определите в каких местах сети нужна фильтрация.

>>> не используя физические интерфейсы, а используя свои реальные IP.

Это вообще как понимать? Бред какой-то.

>>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс

Оно - это что? Видимо Policy Based Routing имеется ввиду? Если да, то чтобы заворачивал нужно сначала его (PBR) настроить))

Советую еще схему Вам нарисовать, вам же легче понять будет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру