https://opennet.dev/openforum/vsluhforumID6/1872.html Здравствуйте!<br>Пытаюсь настроить ACL на WS-C3560X-24T-S. Имеется 2 сети, разнесенные в 2 влана.<br>Vlan101: 10.0.0.0/24 (сеть Public):<br>vlan 101<br> name PublicNet<br>interface Vlan101<br> ip address 10.0.0.97 255.255.255.0 &lt;--- тут виден IP-адрес Cisco.<br>Vlan102: 10.21.0.0/24 (сеть 1С):<br>vlan 102<br> name 1CNet<br>interface Vlan102<br> ip address 10.21.0.9 255.255.255.0<br><br>Сеть Public подключена к gi0/1:<br>interface GigabitEthernet0/1<br> description Link to PublicNet<br> switchport access vlan 101<br> switchport mode access<br><br>Сеть 1С подключена к gi0/5:<br>interface GigabitEthernet0/5<br> description Link to 1C-host<br> switchport access vlan 102<br> switchport mode access<br><br>Есть админский ПК - 10.0.0.2, пытаюсь сделать следующее:<br>- разрешить доступ к телнет Cisco<br>- разрешить доступ к сети 1С (по всем протоколам)<br>- запретить доступ из сети 1С к сети Public<br>- запретить доступ из сети Public (всем, кроме адм. ПК) к сети 1С<br><br>Вариант А: делаю правила с использованием конструкции tcp established:<br>interface Vlan101<br> ip address 10.0 https://opennet.dev/openforum/vsluhforumID6/1872.html#12 Wed, 09 Dec 2015 04:23:13 GMT &gt;&gt; Лепить фаервол из свича мягко говоря не айс.<br>&gt; Другого оборудования у меня нет. Да и полноценный фаервол мне не нужен, <br>&gt; лишь разделить сети да дать доступ админскому ПК ко всем сетям. <br><br>Ты дуешь на воду. Рефлексируй целиком IP, от админской сети куда надо, и все.<br>Если на каждый чих в аксес лист добавлять строчки, кончится TCAM, который на таких железках не сильно большой. Там всего порядка тысячи записей допускается. Любой портскан может испортить тебе жизнь. Тебе оно надо?<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#11 Tue, 08 Dec 2015 14:37:56 GMT Да вы так не переживайте. :) Я не пойму, почему вы ограничены только протоколом TCP-то? Вам что мешает сделать полный доступ от АдминПК до Сети1С? Вы established вешаете на вход со стороны сети 1С, а полный доступ вы вешаете на вход с Public. Все. Со стороны 1С к вам ничего не пройдет, потому что единственное, что разрешено - это established. Я просто никак не пойму, что вы "рефлексить" то собираетесь с помощью reflex-ALC?<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#10 Tue, 08 Dec 2015 14:19:54 GMT &gt; Лепить фаервол из свича мягко говоря не айс.<br><br>Другого оборудования у меня нет. Да и полноценный фаервол мне не нужен, лишь разделить сети да дать доступ админскому ПК ко всем сетям.<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#9 Tue, 08 Dec 2015 14:19:02 GMT &gt; Если вы хотите знать больше, начините с прочтения о том, в чем <br>&gt; разница в работе TCP и UDP, к какому уровню модели OSI <br>&gt; относиться ICMP.<br><br>Йошкин ты кот!.. Простите, эмоции.<br>Почему каждый умник считает своим долгом напомнить про модель OSI, но не удосуживается прочитать сообщение полностью?! Впрочем, рассуждать о различиях udp, tcp, icmp не станем...<br><br>&gt; Если вы разрешаете соединение типа established - к вам снаружи пройдут только <br>&gt; те пакеты, которые инициированы вами изнутри. И это могут быть только <br>&gt; TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты <br>&gt; изнутри к вам не пройдут, пока вы явно это не разрешите <br>&gt; (либо не разрешите весь ip). <br><br>Именно! Раз Вы не читаете мои сообщения, я цитаты из них приведу (первое сообщение, про вариант А):<br>"Так работает! Но мне не нравится то, что доступ от АдмПк к сети 1С будет лишь по протоколу tcp - из-за ограничений established."<br>Вариант настройки extended acl меня _именно_ поэтому и не устраивает.<br>&gt;Упоминания ICMP в ва https://opennet.dev/openforum/vsluhforumID6/1872.html#8 Tue, 08 Dec 2015 14:03:01 GMT Если вы хотите знать больше, начините с прочтения о том, в чем разница в работе TCP и UDP, к какому уровню модели OSI относиться ICMP. Тогда, возможно, у вас отпадет необходимость выдумывать какие-то странные конструкции, о которым мы здесь с вами говорим. <br><br>Если вы разрешаете соединение типа established - к вам снаружи пройдут только те пакеты, которые инициированы вами изнутри. И это могут быть только TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты изнутри к вам не пройдут, пока вы явно это не разрешите (либо не разрешите весь ip). Упоминания ICMP в ваших ACL я вообще не увидел. <br> https://opennet.dev/openforum/vsluhforumID6/1872.html#7 Tue, 08 Dec 2015 12:47:14 GMT &gt;&gt; Так у вас задача в таком случае не ограничить доступ, а поиграться <br>&gt;&gt; с reflex-ACL - а это разные задачи. :) <br>&gt;&gt; Чем вам не нравиться вариант с <br>&gt;&gt; permit tcp 1C_NET host ADMIN_PC established ?<br>&gt; Не нравится тем, что трафик ограничен лишь tcp-протоколом. Мне же хочется больше <br>&gt; - и icmp и, возможно, udp.<br>&gt; Играться с reflex ACL прямой задачи не ставлю, но мне кажется, что <br>&gt; именно reflex и решит мою задачу.<br>&gt; И в первом посте писал, но повторю: если есть варианты решения лучше/правильнее <br>&gt; - предлагайте! Мне хочется знать больше...<br><br>Лепить фаервол из свича мягко говоря не айс.<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#6 Tue, 08 Dec 2015 11:10:48 GMT &gt; Так у вас задача в таком случае не ограничить доступ, а поиграться <br>&gt; с reflex-ACL - а это разные задачи. :) <br>&gt; Чем вам не нравиться вариант с <br>&gt; permit tcp 1C_NET host ADMIN_PC established ?<br><br>Не нравится тем, что трафик ограничен лишь tcp-протоколом. Мне же хочется больше - и icmp и, возможно, udp.<br>Играться с reflex ACL прямой задачи не ставлю, но мне кажется, что именно reflex и решит мою задачу.<br><br>И в первом посте писал, но повторю: если есть варианты решения лучше/правильнее - предлагайте! Мне хочется знать больше...<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#5 Tue, 08 Dec 2015 11:06:52 GMT Так у вас задача в таком случае не ограничить доступ, а поиграться с reflex-ACL - а это разные задачи. :)<br><br>Чем вам не нравиться вариант с <br>permit tcp 1C_NET host ADMIN_PC established ?<br> https://opennet.dev/openforum/vsluhforumID6/1872.html#4 Tue, 08 Dec 2015 10:53:16 GMT &gt; permit ip 10.21.0.0 0.0.0.255 host ADMIN_PC <br><br>Вот эта строка разрешит ходить любым пакетам из сети 1С к адмПК, так? Мне бы этого не хотелось. Хочеца, чтобы были разрешены лишь обратные пакеты из сети 1С к адмПК - в тех сессиях, которые были инициированы адмПК.<br>Т.е. я не хочу выпускать какой-либо трафик из сети 1С, кроме того, который был инициирован адмПК.<br><br>&gt; Меня смущает у вас вот такая конструкция: <br>&gt; ip access-group inAdmins in <br>&gt; ip access-group outAdmins out <br><br>В варианте А пакеты ходят, проверено. При этом Ваш вариант является модификацией моего варианта А, а он мне не нравится. Хочется сделать через reflex.<br>Но Ваш вариант мне не нравится не только потому, что он сделан не через reflex, но и потому что не ограничен трафик идущий из сети 1С к адмПК - для этого описал указанное Вами на циске и проверил - трафик и вправду ходит.<br><br>Ещё варианты? :)<br>