|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - [решено] firewall между vlan <Cisco ACL> |
|
|
Cisco - [решено] firewall между vlan <Cisco ACL>
|
Сообщения: 526 |
Появилась необходимость на той же самой циско 1811 сделать ещё один дополнительный vlan - он у нас будет vlan 103
Необходимо сделать deny all traffic между этим vlan 103 и vlan 101 и vlan 102. Исключением будут только dns - из vlan 103 в vlan 101 по протоколу dns до хостов 172.10.1.4 и 172.10.1.5 Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7 Как это сделать с помощью консоли ?необходимо воспользоваться командой access-list.....а вот как и что.....помогитк плиз. Пояснения - на данный момент мне необходимо предоставить нным людям доступ в интернет - я выбрал именно такой способ. На данный момент ISA у меня находится ещё в vlan 1. На этой неделе буду переводить её на FE. Соответственно второй ряд вопросов , они уже правда обсуждались, но всё-таки - по поводу перевода ISA сервер. Я меняю ip у isa на 128.32.1.2 а циско ставлю 128.32.1.1 - подсети 24 - далее произвожу нные манипуляции на ИСА в её настройках...далее меняю параметр ip route на циско на ip route 0.0.0.0 0.0.0.0 128.32.1.2 или ip route 0.0.0.0 0.0.0.0 fastethernet 0 Всё - по идеи после этих настроек проброс портов должен работать с isa до серверов в vlan 101 должен работать После этого я убираю разрешения всех протоколов кроме днс от vlan 103 к vlan 101. Будет вот так. ISP | ISA(internal 128.32.1.2) | CISCO(FE0 - 128.32.1.1) | Clients - vlan 101, vlan 102, vlan 103 ПРАВИЛЬНО? |
|
|
Отправлено: 20:01, 25-11-2008 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать На данный момент у меня нет возможности поставит такой эксперемент(
Вечером попробую.... Так ...ну по результатам отпишу. |
|
------- Отправлено: 12:50, 26-11-2008 | #11 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
Более того, по правилу неявного Deny оно зарежет весь трафик в сеть 172.10.254.0 |
|
|
------- Отправлено: 12:54, 26-11-2008 | #12 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать А эти правила будет работать?
interface Vlan103 description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 no ip route-cache ip access-list vlan_103_out out ip access-group vlan_103_in in ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ip route 0.0.0.0 0.0.0.0 172.10.1.7 ! ! no ip http server no ip http secure-server ! access-list vlan_103_out permit udp any host 172.10.1.4 eq domain access-list vlan_103_out permit udp any host 172.10.1.5 eq domain access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3 access-list vlan_103_out permit tcp any host 172.10.1.7 eq www access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443 access-list vlan_103_out deny any ! ip access-list extended vlan_103_in deny any ! Между другими вланами траффик должен проходить любой....поэтому это уж будет слишком намудрёно.... |
|
------- Отправлено: 13:03, 26-11-2008 | #13 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
Пары, разрешить/запретить сформируйте. Например: 172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit 172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit 103 <-> 101 deny 102 <-> 101 deny 103 <-> 102 deny === Цитата aptv:
|
||
|
------- Отправлено: 13:13, 26-11-2008 | #14 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать про пары ничего не понял...(
из той же самой 172.10.2.54.0 /24 так короче если делать с in правилами у меня получилось вот так....что-то очень замудрено.... ! NSOFISA01 interface FastEthernet0 ip address 128.32.1.2 255.255.255.0 no ip route-cache no shutdown duplex auto speed auto ip access-list FE0_in in ! interface FastEthernet1 no ip address no ip route-cache shutdown duplex auto speed auto ! NSOFDC01 interface FastEthernet2 switchport access vlan 101 ! NSOFDC02 interface FastEthernet3 switchport access vlan 101 ! NSOFISA01 interface FastEthernet4 switchport access vlan 101 ! NSOFEX01 interface FastEthernet5 switchport access vlan 101 ! NSOFAPS01 interface FastEthernet6 switchport access vlan 101 ! NSOFSW01 interface FastEthernet7 switchport access vlan 101 ! NSOFSW02 interface FastEthernet8 switchport access vlan 102 ! MSOFSW01 interface FastEthernet9 switchport access vlan 103 ! interface Vlan1 no ip address ! interface Vlan101 description NSOF-Vlan1 ip address 172.10.1.3 255.255.255.0 no ip route-cache ip access-list Vlan_101_in in ! interface Vlan102 description NSOF-Vlan2 ip address 172.10.2.3 255.255.255.0 no ip route-cache ip access-list Vlan_102_in in ! interface Vlan103 description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 no ip route-cache ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ip route 0.0.0.0 0.0.0.0 172.10.1.7 ! ! no ip http server no ip http secure-server ! ip access-list FE0_in permit 172.10.1.0 0.255.255.255 ip access-list FE0_in permit 172.10.2.0 0.255.255.255 ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq smtp ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq pop3 ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq www ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq 443 deny any ! ip access-list Vlan_101_in pemit 172.10.1.0 0.255.255.255 ip access-list Vlan_101_in pemit 172.10.2.0 0.255.255.255 ip access-list Vlan_101_in permit tcp any network 172.10.254.0 0.255.255.255 eq domain ip access-list Vlan_101_in permit udp any network 172.10.254.0 0.255.255.255 eq domainс deny any ! ip access-list Vlan_102_in permit 172.10.2.0 0.255.255.255 ip access-list Vlan_102_in pemit 172.10.1.0 0.255.255.255 deny any ! ip access-list extended vlan_103_in deny any ! мозг начинает плавится) |
|
------- Последний раз редактировалось Aleksey Potapov, 26-11-2008 в 13:28. Отправлено: 13:16, 26-11-2008 | #15 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать Всё таки помоему лчуше работать с правилом out для одного интерфейса...
|
|
------- Отправлено: 13:36, 26-11-2008 | #16 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать пары....
172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit 172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit 172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit |
|
------- Отправлено: 13:59, 26-11-2008 | #17 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать interface Vlan103
description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 no ip route-cache ip access-group vlan_103_in in ip access-group vlan_103_out out ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ip route 0.0.0.0 0.0.0.0 128.32.1.1 ! ! no ip http server no ip http secure-server ! ip access-list extended vlan_103_in permit udp host 172.10.1.4 any eq domain permit udp host 172.10.1.5 any eq domain permit tcp host 172.10.1.4 any eq domain permit tcp host 172.10.1.5 any eq domain permit tcp host 128.32.1.1 any eq smtp permit tcp host 128.32.1.1 any eq pop3 permit tcp host 128.32.1.1 any eq www permit tcp host 128.32.1.1 any eq 443 deny any ! ip access-list extended vlan_103_out permit udp any host 172.10.1.4 eq domain permit udp any host 172.10.1.5 eq domain permit tcp any host 172.10.1.4 eq domain permit tcp any host 172.10.1.5 eq domain permit tcp any host 128.32.1.1 eq smtp permit tcp any host 128.32.1.1 eq pop3 permit tcp any host 128.32.1.1 eq www permit tcp any host 128.32.1.1 eq 443 deny any ! А если сделать так? |
|
------- Последний раз редактировалось Aleksey Potapov, 26-11-2008 в 16:32. Отправлено: 15:16, 26-11-2008 | #18 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
172.10.254.0 255.255.255.0 -> 172.10.1.4 domain permit 172.10.254.0 255.255.255.0 -> 172.10.1.5 domain permit 172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit И это все? Остальной трафик запрещен? |
|
|
------- Отправлено: 17:14, 26-11-2008 | #19 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать kim-aa,
да запрещён.... попробовал вот эти правила - не проховал.... сделав вот такой набор правил - даже не смог получить адрес по дхцп с самой циски ! ip access-list extended sdm_vlan103_in remark SDM_ACL Category=1 permit tcp host 172.10.1.4 any eq domain permit tcp host 172.10.1.5 any eq domain permit tcp host 172.10.1.7 eq www any permit udp host 172.10.1.5 any eq domain permit udp host 172.10.1.4 any eq domain ip access-list extended sdm_vlan103_out remark SDM_ACL Category=1 permit tcp any host 172.10.1.4 eq domain permit tcp any host 172.10.1.5 eq domain permit tcp any host 172.10.1.7 eq www permit udp any host 172.10.1.5 eq domain permit udp any host 172.10.1.4 eq domain ! |
|
------- Отправлено: 17:25, 26-11-2008 | #20 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| FreeBSD - Как поднять VPN туннель между Cisco ASA 5520 и FreeBSD 7.0? | Raven_kg | Общий по FreeBSD | 0 | 05-06-2009 16:22 | |
| Cisco - [решено] Cisco Vlan <1811 + MS ISA> | Aleksey Potapov | Сетевое оборудование | 60 | 30-10-2008 17:07 | |
| Cisco - доступ между Vlan-ами | temich77 | Сетевое оборудование | 1 | 23-06-2008 12:57 | |
| Управление Cisco PIX и Cisco IDS | Bugs | Сетевые технологии | 4 | 25-05-2005 10:41 | |
| Cisco Catalyst 2924XL и ACL | UnReLeAsEd | Защита компьютерных систем | 0 | 21-05-2005 13:53 | |
|
|
Время: 11:20. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
