Cisco

kim-aa · Конфигурация компьютера

Цитата aptv:

так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »

1) Как именно показывает, логи покажите?
2) В настоящее время ICQ-сервера принимают подключения по следующим портам:
- icq 5190
- http 80
- https 443

и естественно, Cisco не сможет как фаервол 4-го уровня отловить последние две комбинации

Aleksey Potapov · Отправлено: **13:29, 11-12-2008** | #3

дык, в том то и дело) что идут по протоколу 5190 и другим.
пример ниже.

http://s42.radikal.ru/i095/0812/7c/ef64fbf5ac3b.jpg

kim-aa · Конфигурация компьютера

1) Адрес ISA Какой

2)

Цитата aptv:

так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »

Павильно показывает.
Правилом OUT вы ограничили ответы, а не запросы.
Запросы Cisco ни как не ограничивает.

Aleksey Potapov · Отправлено: **15:16, 11-12-2008** | #5

1. 172.10.1.7

2- понятно - тоесть просто на этот интерфейс если что-то и запросят по протоколу 5190 то просто не получат?правильно?

kim-aa · Конфигурация компьютера

Цитата aptv:

5190 то просто не получат?правильно? »

Да

Кстати ,можно использовать ISA как средство обучения.

- сформировать входное правило на интерфейсе VLAN103

типа

ip access-list extended vlan103_in
deny tcp any any eq 5190
deny udp any any eq 5190
permit any
deny any

и будете строчки вверху добавлять на каждый писк ISA

Aleksey Potapov · Отправлено: **22:23, 11-12-2008** | #7

а может проще
ip access-list extended vlan103 in
permit tcp 172.10.3.0 0.0.0.255 eq www any
permit и.т.п
deny ip any any

kim-aa · Конфигурация компьютера

Мой вариант выгоден когда весь трафик неизвестен и блокируется постенно (обучение, строчку написал - проверил работоспособность)

Ваш вариант - чистовой , т. е. когда точно известны все типы разрешенного трафика и нужно "загасить" остальной.

Aleksey Potapov · Отправлено: **22:45, 11-12-2008** | #9

ну вот мой вариант мне и нужен....