firewall между vlan <Cisco ACL>
 

Появилась необходимость на той же самой циско 1811 сделать ещё один дополнительный vlan - он у нас будет vlan 103

Необходимо сделать deny all traffic между этим vlan 103 и vlan 101 и vlan 102.

Исключением будут только dns - из vlan 103 в vlan 101 по протоколу dns до хостов 172.10.1.4 и 172.10.1.5
Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7

Как это сделать с помощью консоли ?необходимо воспользоваться командой access-list.....а вот как и что.....помогитк плиз.

Пояснения - на данный момент мне необходимо предоставить нным людям доступ в интернет - я выбрал именно такой способ.
На данный момент ISA у меня находится ещё в vlan 1.
На этой неделе буду переводить её на FE.

Соответственно второй ряд вопросов , они уже правда обсуждались, но всё-таки - по поводу перевода ISA сервер.
Я меняю ip у isa на 128.32.1.2 а циско ставлю 128.32.1.1 - подсети 24 - далее произвожу нные манипуляции на ИСА в её настройках...далее меняю параметр ip route на циско на ip route 0.0.0.0 0.0.0.0 128.32.1.2 или ip route 0.0.0.0 0.0.0.0 fastethernet 0
Всё - по идеи после этих настроек проброс портов должен работать с isa до серверов в vlan 101 должен работать
После этого я убираю разрешения всех протоколов кроме днс от vlan 103 к vlan 101.

Будет вот так.

ISP
|
ISA(internal 128.32.1.2)
|
CISCO(FE0 - 128.32.1.1)
|
Clients - vlan 101, vlan 102, vlan 103

ПРАВИЛЬНО?

Честно гворя....с трудом что-то понимаю.....можете на примере показать именно моего случая?
Вот кусок конфига

! NSOFISA01
interface FastEthernet0
ip address 128.32.1.2 255.255.255.0
no ip route-cache
no shutdown
duplex auto
speed auto
!
interface FastEthernet1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
! NSOFDC01
interface FastEthernet2
switchport access vlan 101
! NSOFDC02
interface FastEthernet3
switchport access vlan 101
! NSOFEX01
interface FastEthernet4
switchport access vlan 101
! NSOFAPS01
interface FastEthernet5
switchport access vlan 101
!
interface FastEthernet6
switchport access vlan 101
! NSOFSW01
interface FastEthernet7
switchport access vlan 101
! NSOFSW02
interface FastEthernet8
switchport access vlan 102
! MSOFSW01
interface FastEthernet9
switchport access vlan 103
!
interface Vlan1
no ip address
!
interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list 23 permit 172.10.0.0 0.0.255.255
access-list 23 deny any
dialer-list 1 protocol ip permit
!
!
!
!
!
!

access-list 23 permit 172.10.0.0 0.0.255.255
access-list 23 deny any

Вот стандартный access-list фильтрующий от источника.
Его идентификатор это номер 23
Содержит две записи.

он пропускает любой трафик из 172.10.0.0/16 сети
и режет остальной.

access-list 23 deny any
ставится для читаемости, т.к. в cписках доступа Cisco используется правило неявного закрывающего deny all
Список просматривается сверху вниз. Срабатывает первое встретившее удовлетворяющее правило и
просмотр списка прекращается.

====
Применение же данного списка для фильтрации Входящих пакетов
Привязка к интерфейсу FE0

conf t
int FE0
ip access-group 23 in
====

убиение списка
no ip assess-list 23

===
отвязка от интерфейса
no ip access-group 23

===

Думаю проще создать списки доступа в SDM, т. к. в консоли их создавать заморочнее и больше вероятность ошибиться.
А привязать к интерфейсу можно и в консоли.
===

вот теперь уже понятнее....спасибо....результаты скоро предоставлю)

кстати - Данное сопоставление будет правильным?

network 172.10.254.0 0.255.255.255 ?

Удобнее использовать именованные, а не нумерованные списки доступа. они появились с IOS 11.2

Различие:
нумерованный - access-list
именованный - ip access-list

кстати - Данное сопоставление будет правильным?

network 172.10.254.0 0.255.255.255 ?

или же просто писать any

тоесть
permit udp any eq domain host 172.10.1.4 eq domain

Получается вот так
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_in
permit udp any eq domain host 172.10.1.4 eq domain
permit udp any eq domain host 172.10.1.5 eq domain
permit tcp any eq domain host 172.10.1.4 eq domain
permit tcp any eq domain host 172.10.1.5 eq domain
permit tcp any eq smtp host 172.10.1.7 eq smtp
permit tcp any eq pop3 host 172.10.1.7 eq pop3
permit tcp any eq www host 172.10.1.7 eq www
permit tcp any eq 443 host 172.10.1.7 eq 443


НО НЕ МОГУ ПОНЯТЬ .....почему in а не out

ip access-list extended All-Vizor-Internal_DNS
remark All-Vizor-Internal_DNS
remark SDM_ACL Category=2
permit tcp 172.23.0.0 0.0.255.255 any eq domain
permit udp 172.23.0.0 0.0.255.255 any eq domain
permit tcp 192.168.0.0 0.0.0.255 any eq domain
permit udp 192.168.0.0 0.0.0.255 any eq domain
remark All-Vizor-Internal_DNS
remark SDM_ACL Category=2


Вот ACL созданный в SDM
он разрешает всем хостам из двух сетей обращаться к DNS серверам.
===

permit udp any eq domain host 172.10.1.4 eq domain

не верно, т.к. исходящим портом будет не 53 (domain)

===
НО НЕ МОГУ ПОНЯТЬ .....почему in а не out

Это связано с особенностями применения списков тдоступа.

В первую очередь обрабатываются входящие пакеты
Во-вторую - маршрутизация
В-третью исходящие
В последнюю NAT.

Для уменьшениянагрузки на маршрутизатор и наибольшей скорости работы, стараются основной трафик отсечь на входе

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list vlan_103_out permit udp any host 172.10.1.4 eq domain
access-list vlan_103_out permit udp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp
access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3
access-list vlan_103_out permit tcp any host 172.10.1.7 eq www
access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443
access-list vlan_103_out deny any
!
ip access-list extended vlan_103_in
deny any
!



Так то что я понял....
Поскольку я привязую группу ACL за влоном, соответственно я могу писать access-list vlan_103_out permit udp ANY.



Этими правилами я запрещаю исходящий траффик кроме выбранного.
И запрещаю входящий ото всюду.


Прочитал Ваше последнее соолбщение....

исходя из него я понял что можно сделать и так.
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq smtp
permit tcp any host 172.10.1.7 eq pop3
permit tcp any host 172.10.1.7 eq www
permit tcp any host 172.10.1.7 eq 443
deny any
!
ip access-list extended vlan_103_in
deny any
!



Или всё же нельзя?

Можно и так и так.
Единственное нужно проверить прохождение ответного DNS-трафика от 172.10.1.4 и 172.10.1.5

Я боюсь что правило

ip access-list extended vlan_103_in
deny any

как обрабатываемое первым просто зарежет весь входящий трафик из 103 (172.10.254.3 255.255.255.0)

===
Попробуйте обойтись без правил для OUT

сделайте три набора IN для каждого VLAN интерфейса

На данный момент у меня нет возможности поставит такой эксперемент(
Вечером попробую....
Так ...ну по результатам отпишу.

Кстати, данное правило нерабочее, т. к. из интерфейса 103 ни при каких условиях не выйдет пакет адресованный к сети 172.10.1.0.
Более того, по правилу неявного Deny оно зарежет весь трафик в сеть 172.10.254.0

А эти правила будет работать?

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list vlan_103_out permit udp any host 172.10.1.4 eq domain
access-list vlan_103_out permit udp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp
access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3
access-list vlan_103_out permit tcp any host 172.10.1.7 eq www
access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443
access-list vlan_103_out deny any
!
ip access-list extended vlan_103_in
deny any
!

Между другими вланами траффик должен проходить любой....поэтому это уж будет слишком намудрёно....

===
Пары, разрешить/запретить сформируйте.
Например:

172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit


103 <-> 101 deny
102 <-> 101 deny
103 <-> 102 deny
===

Из какой сети?

про пары ничего не понял...(
из той же самой 172.10.2.54.0 /24

так короче если делать с in правилами у меня получилось вот так....что-то очень замудрено....
! NSOFISA01
interface FastEthernet0
ip address 128.32.1.2 255.255.255.0
no ip route-cache
no shutdown
duplex auto
speed auto
ip access-list FE0_in in
!
interface FastEthernet1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
! NSOFDC01
interface FastEthernet2
switchport access vlan 101
! NSOFDC02
interface FastEthernet3
switchport access vlan 101
! NSOFISA01
interface FastEthernet4
switchport access vlan 101
! NSOFEX01
interface FastEthernet5
switchport access vlan 101
! NSOFAPS01
interface FastEthernet6
switchport access vlan 101
! NSOFSW01
interface FastEthernet7
switchport access vlan 101
! NSOFSW02
interface FastEthernet8
switchport access vlan 102
! MSOFSW01
interface FastEthernet9
switchport access vlan 103
!
interface Vlan1
no ip address
!
interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list FE0_in permit 172.10.1.0 0.255.255.255
ip access-list FE0_in permit 172.10.2.0 0.255.255.255
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq smtp
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq pop3
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq www
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq 443
deny any
!
ip access-list Vlan_101_in pemit 172.10.1.0 0.255.255.255
ip access-list Vlan_101_in pemit 172.10.2.0 0.255.255.255
ip access-list Vlan_101_in permit tcp any network 172.10.254.0 0.255.255.255 eq domain
ip access-list Vlan_101_in permit udp any network 172.10.254.0 0.255.255.255 eq domainс
deny any
!
ip access-list Vlan_102_in permit 172.10.2.0 0.255.255.255
ip access-list Vlan_102_in pemit 172.10.1.0 0.255.255.255
deny any
!
ip access-list extended vlan_103_in
deny any
!


мозг начинает плавится)

Всё таки помоему лчуше работать с правилом out для одного интерфейса...

пары....
172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit
172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_in in
ip access-group vlan_103_out out
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 128.32.1.1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_in
permit udp host 172.10.1.4 any eq domain
permit udp host 172.10.1.5 any eq domain
permit tcp host 172.10.1.4 any eq domain
permit tcp host 172.10.1.5 any eq domain
permit tcp host 128.32.1.1 any eq smtp
permit tcp host 128.32.1.1 any eq pop3
permit tcp host 128.32.1.1 any eq www
permit tcp host 128.32.1.1 any eq 443
deny any

!
ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 128.32.1.1 eq smtp
permit tcp any host 128.32.1.1 eq pop3
permit tcp any host 128.32.1.1 eq www
permit tcp any host 128.32.1.1 eq 443
deny any
!

А если сделать так?

Думау все таки правильнее
172.10.254.0 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.0 255.255.255.0 -> 172.10.1.5 domain permit
172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit

И это все?
Остальной трафик запрещен?

kim-aa,
да запрещён....
попробовал вот эти правила - не проховал....


сделав вот такой набор правил - даже не смог получить адрес по дхцп с самой циски

!
ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp host 172.10.1.4 any eq domain
permit tcp host 172.10.1.5 any eq domain
permit tcp host 172.10.1.7 eq www any
permit udp host 172.10.1.5 any eq domain
permit udp host 172.10.1.4 any eq domain
ip access-list extended sdm_vlan103_out
remark SDM_ACL Category=1
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq www
permit udp any host 172.10.1.5 eq domain
permit udp any host 172.10.1.4 eq domain
!

nterface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list Vlan_103_in in


ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

ip access-list extended sdm_vlan102_in
deny any

ip access-list extended sdm_vlan101_in
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any

как я понял это acl предоставляет права доступа из сети 172.10.254.0 /24 к нашим хостам.....но почему тогда IN?

Потому-что

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0

У вас интерфейс Vlan103 принадлежит сети 172.10.254.0/24

И естественно в нормальной ситуации на данный интерфейс могут придти пакеты с адресом отправителя только данной сети.
Адрес сети в ACL можно было даже не прописывать
(например так
permit udp any host 172.10.1.5 eq domain
)
но обычно это делают для ликвидации угрозы подмены ИП в пакетах, что вобще-то не актуально в данном случае, но пусть будет. Да и читаемость выше

до меня не доходит.....я думаю что когда IN - это значит в указанный интерфейс - тоесть в интерфейс Vlan 103, соответственно out - наоборот

Да, вы абсолютно правы. Я не пойму суть вопроса.

ну тогда последний ряд правил предполагает что указанный в них траффик будет проходить до хостов в VLAN 103 от хостов указанных в этом правиле?

Вы nterface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list Vlan_103_in in


ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

ip access-list extended sdm_vlan102_in
deny any

ip access-list extended sdm_vlan101_in
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any



А как же таффик между подсетями 101 и 102?мне то необходимо чтобы весь траффик бегал между этими вланами....
Перевесли ISA на интерфейс FE0 - теперь у неё адрес 172.16.1.1

Это просто:

ip access-list extended sdm_vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any

ip access-list extended sdm_vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any

Всё равно не понимаю....
ip access-list extended sdm_vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
правило называется vlan102_in

тогда почему мы разрешаем правила из этой сети в другую? а не наоборот? ведь правило обзначает входящий траффик в сеть 172.10.2.0 а не исходящий....
тоесть по моей логике должно быть

ip access-list extended vlan102_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255
deny any

ip access-list extended vlan101_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
deny any


ip access-list extended vlan103_in
permit tcp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain
permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25
deny any


ip access-list FE0_in
permit any 172.10.1.0 0.0.0.255 host 172.16.1.1
permit any 172.10.2.0 0.0.0.255 host 172.16.1.1
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25



Правила я так понимаю выглядят вот так
разрешить/запретить tcp/udp протокол откуда куда tcp|udp протокол


--------------------------------------
Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так
access-list 23 permit 172.10.1.21 0.0.0.7 ?

--------------------------------------

Я понял вашу проблему.
ACL привязывается к интерфейсу, и соответственно все операции расматриваются с позиций ИНТЕРФЕЙСА.

Т. е. ВХОДЯЩИЙ трафик для интерфейса (IN), является ИСХОДЯЩИМ из сети в которой находится интерфейс.

Тоесть получаетс так?

ip access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
permit any network 172.10.2.0 0.0.0.255 host 172.16.1.1
deny any

ip access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any network 172.10.1.0 0.0.0.255 host 172.16.1.1
permit tcp host 172.10.1.4 eq domain
permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
deny any


ip access-list extended vlan103_in
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25
deny any


ip access-list FE0_in
permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25

1) Чтобы не путаться с масками определенные IP адресы проще указывать через host

access-list 23 permit host 172.10.1.21

2) Так же можно (и обычно это более стандартный путь) наложить acl на виртуальный терминал
При этом используются три группы записей

;пользователя и привелегии
username root privilege 15 secret 5 $1$H0nM$06ytTz2z0nThOBj7OweIA.

; Сам АКЛ
access-list 23 remark SDM_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 172.23.0.0 0.0.255.255

;привязка терминала к списку доступа и уровня привелегии
line vty 5 15
access-class 23 in
transport input telnet ssh

3) Для http доступа применяется конструкция
ip http server
ip http access-class 23

Чего-то подозрительно.
Вопросы
- У вас вся работа идет через прокси на ИСА?
Т.е. по этим правилам ни один пакет чей адресат во внешней сети до Cisco не дойдет.
Разрешен трафик только от ISA и то, для двух сетей.
Такое возможно только в случае импользования ИСА как прокси для всех протоколов, что нереально.
(Ходовые конструкции это прокси + кэширующий ДНС)

- 172.10.253.0 аутентифицироваться на ИСА не будут?

===
Конструкция неверна.

Она разрешает ISA ходить на какие-то непонятные http, https, pop3, smtp - сервера.
Не клиенты, а именно сервера.

У нАс вся работа идёт через.....щас скину...
http://s55.radikal.ru/i147/0811/d2/22e7983e6286.jpg
Вот схема....

Ps сама структура сети....как на Ваш взгляд?

ИСА у вас используется в качестве шлюза-фаервола с NAT.

Вот вы какие ДНС сервера указываете в настройках почтового и прочих серверов?
А какие адреса используются как SMTP-relay у почтового сервера?
Ведь не IP ИСА вы туда подставляете, не так ли?

шлюза фаервола и прокси сервера для vlan 101

Используются внутренние ДНС сервера. он сам себе рилэй

Хорошо, поставим вопрос по другому.
Кто именно возвращает внутренним серверам внешние IP, для внешних имен (кто именно производит разрешение имен для внешних систем)? Адрес приведите.

Значит он должен напрямую (на уровне SMTP) адресоваться к внешним почтовым серверам, не так ли?
И внешние Сервера должны ему ответить.
Т.е. ваш почтовый сервер (172.10.1.6) послав SMTP запрос, скажем к mail.ru, будет ожидать ответа (адрес отправителя в пакете IP) именно от mail.ru, а не от внутреннего интерфейса ISA.

Иное дело что ИСА подменит адрес получателя в данном пакете со своего (внешнего) на внутренний Почтового сервера.
Но ведь почтовый сервер об этой операции ничего не знает. НАТ происходит скрытно от него

DNS 195.14.50.1
195.14.50.21
213.234.194.7

Ну и соответственно вы должны на FE0 разрешить входящий трафик от данных серверов.
Но с почтовыми, то так не выйдет. Вы же не перечислите все почтовые сервера по IP.

Но ИМХО проще, для начала, просто разрешить трафик получателем которого являются ваши сервера.
Можете ужесточить правила с указанием портов источника: 53, 25, 110, 80, 443

Как выучите ACL полностью - построите более сложные конструкции с проверкой синхронизации TCP-дейтаграм и прочими наворотами

Сейчас переткнул обратно в влан 101 isa - были проблемы с маршрутизацией.....тоесть ISA у меня теперь опять в Vlan 1 с адресом 172.10.1.7
ip access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any

ip access-list extended vlan101_in
permit any host
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.6 eq 25
deny any


ip access-list extended vlan103_in
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25
deny any


Правильно?

Согласно правилам обработки ACL, все строки ниже
permit any host
НИКОГДА не будут задействованы, т.к. данное правило верно всегда

Т. е. вы просто разрешаете весь входящий трафик

Можете мне написать правильный ACL для моего случая?
Разрешить всеь траффик между Vlan 101 и vlan 102
Разрешить входящий трафик типа smtp pop3 http и https до хостов 172.10.1.4 и 172.10.1.5 из vlan 103 в vlan101 + траффик типа dns из vlan 103 в vlan101 до хостов 172.10.1.4 и 172.10.1.5

Вопрос отдельно - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?

ip access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255

permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255

permit ip host 172.16.1.1 network 172.10.254.0 0.0.0.255

deny any

access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
deny any


Предпоследнее правило было мною удалено такак я перевёл ISA сервер из FE0 обратно в влан 101

Но это набор правил применительно к влан 101
а влан102?
Как я понял, то мне необходимо добавит след. правило
access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
Или я не прав?

Сложно мне понять технологию работы ACl на циско....можете более детально описать её работу?

Вопрос - как мне настроить логгинг?Сколько не лазил - везде фигурирует внешний сервер?Разве циска на себе логи не умеет держать?
2-ой вопрос - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?

Лучше не найдете

http://www.infanata.org/2006/08/08/p...kovodstvo.html

книжка то естьу меня - настольная)

Ну так выделите пол-дня, прочтите главу посвященную ACL


2) Толку от логов на железяке. Куда их там складывать?

3) ip source route

В стеке TCP/IP некоторые протоколы включают поля с указанием опций принудительного (требуемого) маршрута.
(обычно это служебные типа ICMP )

no ip source route
заставляет Cisco игнорировать все эти требования, даже если она может их выполнить.

У меня получается вот так.

interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan_101_vlan_102_in in
ip access-list extended vlan_103_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan_102_vlan_101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan_101_vlan_102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan_102_vlan_101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_internet
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!

Все верно.

Небольшое замечание по поводу применения правила
ip access-list extended vlan103_internet

По сути вы им ограничиваете ОТВЕТЫ серверов клиентам.

Более грамотно сначала ограничить инициирующие запросы клиентов к серверам,
а составленное вами правило оставить как есть, т.е. оно ужесточает ограничения.

Однако основным ограничением должно быть ограничение на вход на 103 интерфейсе.
Мы его уже расматривали

вы его даже сами приводили

ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

ТОЕСТЬ
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan102_in in
ip access-list extended vlan103_vlan101_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan102_vlan101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan103_internet in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan101_vlan102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan102_vlan101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_vlan101_internet
remark allow dns traffic from Vlan103 to NSOF DNS
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!
ip access-list extended vlan101_vlan103_internet in
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
remark alow internet traffic from Gateway NSOFISA01 to Vlan 103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

Вроде все верно.

Как залью и проверю - отпишу.

Вопрос ещё возник...У меня же 1811 циска
Вычитал на сайте
USB 2.0 Ports on Cisco 1811 and 1812


Integrated USB ports can be configured to work with optional USB token for off-platform storage of VPN credentials or for deployment of configuration stored on USB Flash devices.

Возможно ли их задействовать для передачи данных (логи) на USB внешний жётский диск?

Вот какой конфиг после того как я залил с правилами.
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-group vlan101 in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-group vlan102 in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server

!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!




Итог - не могу выйти в интернет из Vlan 101 ТОЧНО.Остальные не проверял - времени не хватило....
На рабочих машинах шлюзом у меня указана циска.
Куда рыть?
подскажите пожалуйста.


PS создал конфиг с одним аутом - отлично работает.
Вот он
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq 80 172.10.254.0 0.0.0.255
permit tcp any eq 443 172.10.254.0 0.0.0.255
permit tcp any eq 25 172.10.254.0 0.0.0.255
permit tcp any eq 110 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
deny ip any any
!



Вопрос по этому конфигу - можно ли как-то в нём сразу ограничить доступ в интрнет ?(Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п.))

Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так?

Слушайте, действительно так и должно быть.
Совсем склероз замучал.
У вас клиенты когда через ISA ходят, порт прокси В браузере указывают? 8080 либо 3128?
Если "Да", то реальный ответный трафик будет
isa tcp 8080 -> 172.10.254.0 0.0.0.255

А входящий трафик будет соответсвенно
172.10.254.0 0.0.0.255 -> isa tcp 8080

====
Если же в браузерах прокси не указывается, то ИСА работает либо фаерволом, либо прозрачным прокси,
и запрос клиента будет:
172.10.254.0 0.0.0.255 -> mail.ru tcp 80

ответ, соответственно зеркален наоборот и кроме any ничего не подойдет.
===
Разбор http строки это уже дело не фаервола 4 уровня, а либо прокси ,либо фаервола 7-го уровня.
===

кстати, вместо ip в acl можно указывать именна, но только в SDM
Среда автоматом переведет имя в IP
будет подобная запись

ip access-list extended to_Aton
remark 172.23.0.0 and 192.168.0.0 ->Aton
remark SDM_ACL Category=2
remark www.aton-line.ru:443
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq 443
remark www.aton-line.ru:80
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq www

вот как раз для vlan101 - клиенты хходят через прокси......с авторизацией - для безопастности сети.
А вот из остальных Влан не получится использоват вэб прокси - так как там приходящие и уходящие клиенты - с ноутами в основном....
Теперь понятно...


!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!


Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

------------
ТОесть разбор данного протокола возможен к примеру на cisco PIX?(устройств работающих на 7-ом уровне модели OSI?)
------------

Да. Но проще и дешевле на Squid.
Вобще процесс разбора проще на прокси серверах, но увы они не универсальны.

Универсальные же устройства, типа фаерволов 7-го уровня дороги и не так функциональны.

Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

1) Кого и куда не пускает?
2) как вы ACL к интерфейсам прикрепили приведите.

1 - в интернет не пускает.
2 - ip access-group vlan101 in

1) Кого не пускает?
2) out - правила есть?

клиента из подсети 172.10.1.0

1) Он пытается получить доступ в интернет через ISA (ip напомните пожалуйста)
- как через прокси?
- или просто как через шлюз по умолчанию

2) Распознавание имен на клиенте работает?
Скажем, tracert mail.ru , ip возвращает?

3) ipconfig
для клиента приведите

1-172.10.1.7
через прокси
isa я вляется шлюзом и прокси одновременно - но для клиента из подсети это первоначально прокси.


Ethernet NIC
Физический адрес. . . . . . . . . : 00-1D-7D-43-E7-00
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.10.1.21
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.10.1.3
DHCP-сервер . . . . . . . . . . . : 172.10.1.3
DNS-серверы . . . . . . . . . . . : 172.10.1.4
172.10.1.5
Аренда получена . . . . . . . . . : 30 ноября 2008 г. 22:20:57
Аренда истекает . . . . . . . . . : 1 декабря 2008 г. 22:20:57
клиент это моя машина.

Ладно. Задача, которая была изначально - выполнена с помощью acl out. Работает замечательно.
kim-aa спасибо Вам - теперь я знаю механизм работы acl. В дальнейшем очень полезные знания. Сегодня перечитал главу посвящённую acl в книге cisco ccna 1-2 - трудно понять весь механизм просто прочитав. Вы выступили как лектор)