форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Cisco firewall"	+/–
Сообщение от sypersava (ok) on 22-Мрт-12, 10:50
Добрый день всем. Прикупили железку cisco 2921,в основном для DMVPN между удаленными офисами, есть своя AS, несколько каналов к разным провайдерам. Есть желание ограничивать входящие подключения по IP или подсетям. Но в Cisco - access-list вешается на интерфейс. Попробовал такую конструкцию: interface Loopback106 ip address 10.10.10.106 255.255.255.255 ip nat outside ip access-group TERM_IN in ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389 ip access-list standard TERM_IN deny   any 10.10.10.106 - реальный IP, но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие люди, как мне организовать нужный функционал, не используя физические интерфейсы, а используя свои реальные IP. Хочу напрмер сделать один реальный IP - терминальный сервер, на него свои ACL входящие, другой реальный IP - корпоративный портал, на него свои ACL входящие и т.д. Спасибо.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco firewall"	+/–
Сообщение от Merridius (ok) on 22-Мрт-12, 13:49
>[оверквотинг удален] >  ip access-group TERM_IN in > ip nat inside source static tcp 192.168.0.130 3389 interface Loopback106 3389 > ip access-list standard TERM_IN >  deny   any > 10.10.10.106 - реальный IP, > но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие > люди, как мне организовать нужный функционал, не используя физические интерфейсы, а > используя свои реальные IP. Хочу напрмер сделать один реальный IP - > терминальный сервер, на него свои ACL входящие, другой реальный IP - > корпоративный портал, на него свои ACL входящие и т.д. Спасибо. Если честно ничего не понял что вы хотите, но как минимум помотрите на свой ACL, который deny any any И вот еще что, ACL - это по сути stateless firewall. Если вам нужен statefull, то в IOS их два CBAC и ZBPFW.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco firewall"	+/–
	Сообщение от sypersava (ok) on 22-Мрт-12, 14:24
	>[оверквотинг удален] >> 10.10.10.106 - реальный IP, >> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс, подскажите знающие >> люди, как мне организовать нужный функционал, не используя физические интерфейсы, а >> используя свои реальные IP. Хочу напрмер сделать один реальный IP - >> терминальный сервер, на него свои ACL входящие, другой реальный IP - >> корпоративный портал, на него свои ACL входящие и т.д. Спасибо. > Если честно ничего не понял что вы хотите, но как минимум помотрите > на свой ACL, который deny any any > И вот еще что, ACL - это по сути stateless firewall. Если > вам нужен statefull, то в IOS их два CBAC и ZBPFW. Ну вот именно, оно никого не денает. А должно бы. А оно нихочет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco firewall"	+/–
	Сообщение от Merridius (ok) on 22-Мрт-12, 15:34
	Еще раз прочитал что вы в начале написали и сделал вывод - у вас каша в голове. Сначала разберитесь какой трафик, откуда-куда должен идти, через какие интерфейсы. Далее определите в каких местах сети нужна фильтрация. >>> не используя физические интерфейсы, а используя свои реальные IP. Это вообще как понимать? Бред какой-то. >>> но оно видимо не заворачивает пробрасываемый трафик на этот интерфейс Оно - это что? Видимо Policy Based Routing имеется ввиду? Если да, то чтобы заворачивал нужно сначала его (PBR) настроить)) Советую еще схему Вам нарисовать, вам же легче понять будет.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема