|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - [решено] firewall между vlan <Cisco ACL> |
|
|
Cisco - [решено] firewall между vlan <Cisco ACL>
|
Сообщения: 526 |
Появилась необходимость на той же самой циско 1811 сделать ещё один дополнительный vlan - он у нас будет vlan 103
Необходимо сделать deny all traffic между этим vlan 103 и vlan 101 и vlan 102. Исключением будут только dns - из vlan 103 в vlan 101 по протоколу dns до хостов 172.10.1.4 и 172.10.1.5 Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7 Как это сделать с помощью консоли ?необходимо воспользоваться командой access-list.....а вот как и что.....помогитк плиз. Пояснения - на данный момент мне необходимо предоставить нным людям доступ в интернет - я выбрал именно такой способ. На данный момент ISA у меня находится ещё в vlan 1. На этой неделе буду переводить её на FE. Соответственно второй ряд вопросов , они уже правда обсуждались, но всё-таки - по поводу перевода ISA сервер. Я меняю ip у isa на 128.32.1.2 а циско ставлю 128.32.1.1 - подсети 24 - далее произвожу нные манипуляции на ИСА в её настройках...далее меняю параметр ip route на циско на ip route 0.0.0.0 0.0.0.0 128.32.1.2 или ip route 0.0.0.0 0.0.0.0 fastethernet 0 Всё - по идеи после этих настроек проброс портов должен работать с isa до серверов в vlan 101 должен работать После этого я убираю разрешения всех протоколов кроме днс от vlan 103 к vlan 101. Будет вот так. ISP | ISA(internal 128.32.1.2) | CISCO(FE0 - 128.32.1.1) | Clients - vlan 101, vlan 102, vlan 103 ПРАВИЛЬНО? |
|
|
Отправлено: 20:01, 25-11-2008 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать nterface Vlan101
description NSOF-Vlan1 ip address 172.10.1.3 255.255.255.0 no ip route-cache ip access-list Vlan_101_in in ! interface Vlan102 description NSOF-Vlan2 ip address 172.10.2.3 255.255.255.0 no ip route-cache ip access-list Vlan_102_in in ! interface Vlan103 description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 no ip route-cache ip access-list Vlan_103_in in ip access-list extended sdm_vlan103_in remark SDM_ACL Category=1 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25 deny any ip access-list extended sdm_vlan102_in deny any ip access-list extended sdm_vlan101_in permit any host 172.10.1.7 permit any host 172.10.1.5 permit any host 172.10.1.4 deny any |
|
------- Последний раз редактировалось kim-aa, 26-11-2008 в 18:49. Отправлено: 18:32, 26-11-2008 | #21 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать как я понял это acl предоставляет права доступа из сети 172.10.254.0 /24 к нашим хостам.....но почему тогда IN?
|
|
------- Отправлено: 18:44, 26-11-2008 | #22 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Потому-что
interface Vlan103 description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 У вас интерфейс Vlan103 принадлежит сети 172.10.254.0/24 И естественно в нормальной ситуации на данный интерфейс могут придти пакеты с адресом отправителя только данной сети. Адрес сети в ACL можно было даже не прописывать (например так permit udp any host 172.10.1.5 eq domain ) но обычно это делают для ликвидации угрозы подмены ИП в пакетах, что вобще-то не актуально в данном случае, но пусть будет. Да и читаемость выше |
|
------- Отправлено: 18:49, 26-11-2008 | #23 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать до меня не доходит.....я думаю что когда IN - это значит в указанный интерфейс - тоесть в интерфейс Vlan 103, соответственно out - наоборот
|
|
------- Отправлено: 18:57, 26-11-2008 | #24 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
|
|
|
------- Отправлено: 19:05, 26-11-2008 | #25 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать ну тогда последний ряд правил предполагает что указанный в них траффик будет проходить до хостов в VLAN 103 от хостов указанных в этом правиле?
Вы nterface Vlan101 description NSOF-Vlan1 ip address 172.10.1.3 255.255.255.0 no ip route-cache ip access-list Vlan_101_in in ! interface Vlan102 description NSOF-Vlan2 ip address 172.10.2.3 255.255.255.0 no ip route-cache ip access-list Vlan_102_in in ! interface Vlan103 description MSOF-Vlan3 ip address 172.10.254.3 255.255.255.0 no ip route-cache ip access-list Vlan_103_in in ip access-list extended sdm_vlan103_in remark SDM_ACL Category=1 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25 deny any ip access-list extended sdm_vlan102_in deny any ip access-list extended sdm_vlan101_in permit any host 172.10.1.7 permit any host 172.10.1.5 permit any host 172.10.1.4 deny any А как же таффик между подсетями 101 и 102?мне то необходимо чтобы весь траффик бегал между этими вланами.... Перевесли ISA на интерфейс FE0 - теперь у неё адрес 172.16.1.1 |
|
------- Последний раз редактировалось Aleksey Potapov, 26-11-2008 в 21:55. Отправлено: 19:18, 26-11-2008 | #26 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
ip access-list extended sdm_vlan102_in permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255 deny any ip access-list extended sdm_vlan101_in permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255 permit any host 172.10.1.7 permit any host 172.10.1.5 permit any host 172.10.1.4 deny any |
|
|
------- Отправлено: 22:42, 26-11-2008 | #27 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать Всё равно не понимаю....
ip access-list extended sdm_vlan102_in permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255 правило называется vlan102_in тогда почему мы разрешаем правила из этой сети в другую? а не наоборот? ведь правило обзначает входящий траффик в сеть 172.10.2.0 а не исходящий.... тоесть по моей логике должно быть ip access-list extended vlan102_in permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255 permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255 deny any ip access-list extended vlan101_in permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255 permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255 permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain deny any ip access-list extended vlan103_in permit tcp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25 deny any ip access-list FE0_in permit any 172.10.1.0 0.0.0.255 host 172.16.1.1 permit any 172.10.2.0 0.0.0.255 host 172.16.1.1 permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 80 permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110 permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 443 permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25 Правила я так понимаю выглядят вот так разрешить/запретить tcp/udp протокол откуда куда tcp|udp протокол -------------------------------------- Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так access-list 23 permit 172.10.1.21 0.0.0.7 ? -------------------------------------- |
|
------- Последний раз редактировалось Aleksey Potapov, 27-11-2008 в 10:10. Отправлено: 09:28, 27-11-2008 | #28 |
|
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
ACL привязывается к интерфейсу, и соответственно все операции расматриваются с позиций ИНТЕРФЕЙСА. Т. е. ВХОДЯЩИЙ трафик для интерфейса (IN), является ИСХОДЯЩИМ из сети в которой находится интерфейс. |
|
|
------- Отправлено: 12:08, 27-11-2008 | #29 |
|
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать Тоесть получаетс так?
ip access-list extended vlan102_in permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255 permit any network 172.10.2.0 0.0.0.255 host 172.16.1.1 deny any ip access-list extended vlan101_in permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255 permit any network 172.10.1.0 0.0.0.255 host 172.16.1.1 permit tcp host 172.10.1.4 eq domain permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain permit udp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain deny any ip access-list extended vlan103_in permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80 permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110 permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443 permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25 deny any ip access-list FE0_in permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255 permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25 |
|
------- Отправлено: 12:19, 27-11-2008 | #30 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| FreeBSD - Как поднять VPN туннель между Cisco ASA 5520 и FreeBSD 7.0? | Raven_kg | Общий по FreeBSD | 0 | 05-06-2009 16:22 | |
| Cisco - [решено] Cisco Vlan <1811 + MS ISA> | Aleksey Potapov | Сетевое оборудование | 60 | 30-10-2008 17:07 | |
| Cisco - доступ между Vlan-ами | temich77 | Сетевое оборудование | 1 | 23-06-2008 12:57 | |
| Управление Cisco PIX и Cisco IDS | Bugs | Сетевые технологии | 4 | 25-05-2005 10:41 | |
| Cisco Catalyst 2924XL и ACL | UnReLeAsEd | Защита компьютерных систем | 0 | 21-05-2005 13:53 | |
|
|
Время: 11:49. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
