The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Access-list, !*! rimon, 22-Июл-06, 15:30  [смотреть все]
Снова всем привет.
Такой вопрос у меня. Есть Cisco 2611 с двумя eth.
e0/0 192.168.1.1/24
e0/1 192.168.2.1/24

Нужно всю сеть 192.168.2.0/24 защитить ACL так чтобы они ходили только куда можно (www, почта) а к ним ни кто. Делал я это так.

ip access-list extended permit_out_from_eth0/1
    permit tcp 192.168.2.0 0.0.0.255 any established log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
    deny ip any any log

ip access-list extended deny_in_to_eth0/1
    deny ip any 192.168.2.0 0.0.0.255 log

conf t
int f0/1
ip access-g permit_out_from_eth0/1 in
ip acces deny_in_to_eth0/1 out

Когда сделал то никто не работает. Если только "ip access-g permit_out_from_eth0/1 in", то это точти то - т.е можно зайти на РС а сети 192.168.2.0 по RDP.
Что у меня не так? Спасибо.

Ответить | Сообщить модератору
  • Access-list, !*! ilya, 15:36 , 22-Июл-06 (1)
    • Access-list, !*! chuvy, 16:04 , 22-Июл-06 (2)
      >конфиг в студию
      ip access-list extended deny_in_to_eth0/1
          deny ip any 192.168.2.0 0.0.0.255 log
      прикольно
      все заприщаешь и еще что-то хочешь чтоб работало

      permit tcp any 192.168.2.0 0.0.0.255 established
      permit tcp any 192.168.2.0 0.0.0.255 gt 1025
      permit udp any 192.168.2.0 0.0.0.255 gt 1025
      deny ip any network

      само просто

      Ответить | Сообщить модератору
      • Access-list, !*! rimon, 16:25 , 22-Июл-06 (4)
        >>конфиг в студию
        >ip access-list extended deny_in_to_eth0/1
        >    deny ip any 192.168.2.0 0.0.0.255 log
        >прикольно
        >все заприщаешь и еще что-то хочешь чтоб работало
        >
        >permit tcp any 192.168.2.0 0.0.0.255 established
        >permit tcp any 192.168.2.0 0.0.0.255 gt 1025
        >permit udp any 192.168.2.0 0.0.0.255 gt 1025
        >deny ip any network
        >
        >само просто


        Не знаю правильно ли это. Ведь я запрещаж RDP - 3389. А ты открываешь выше 1025. И потом как на интерфейс этот АCL загнать?

        Ответить | Сообщить модератору
    • Access-list, !*! rimon, 16:13 , 22-Июл-06 (3)
      >конфиг в студию

      interface Ethernet0/0
      ip address 192.168.1.1 255.255.255.0
      no ip directed-broadcast
      !
      interface Ethernet0/1
      ip address 192.168.1.2 255.255.255.0
      ip access-group permit_out_from_eth01 in
      no ip directed-broadcast
      !
      interface Serial0
      no ip address
      no ip directed-broadcast
      encapsulation frame-relay IETF
      !
      interface Serial0.1 point-to-point
      ip address 11.11.11.2 255.255.255.252
      no ip directed-broadcast
      frame-relay interface-dlci 16
      !
      ip access-list extended permit_out_from_eth01
          permit tcp 192.168.2.0 0.0.0.255 any established log
          permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
          permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log
          permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
          permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
          permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
          deny ip any any log
      !
      ip access-list extended deny_in_to_eth01
          deny ip any 192.168.2.0 0.0.0.255 log
      !


      Ответить | Сообщить модератору
      • Access-list, !*! ilya, 16:29 , 22-Июл-06 (5)
        >>конфиг в студию
        >
        >interface Ethernet0/0
        > ip address 192.168.1.1 255.255.255.0
        > no ip directed-broadcast
        >!
        >interface Ethernet0/1
        > ip address 192.168.1.2 255.255.255.0
        > ip access-group permit_out_from_eth01 in
        > no ip directed-broadcast
        >!
        >interface Serial0
        > no ip address
        > no ip directed-broadcast
        > encapsulation frame-relay IETF
        >!
        >interface Serial0.1 point-to-point
        > ip address 11.11.11.2 255.255.255.252
        > no ip directed-broadcast
        > frame-relay interface-dlci 16
        >!
        >ip access-list extended permit_out_from_eth01
        >    permit tcp 192.168.2.0 0.0.0.255 any established log
        >    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
        >    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
        >log
        >    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
        >
        >    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
        >
        >    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
        >
        >    deny ip any any log
        >!
        >ip access-list extended deny_in_to_eth01
        >    deny ip any 192.168.2.0 0.0.0.255 log
        >!


        1. у вас два эзернета смотрящих в одну сеть?
        2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 ?

        Ответить | Сообщить модератору
        • Access-list, !*! rimon, 16:42 , 22-Июл-06 (6)
          >>>конфиг в студию
          >>
          >>interface Ethernet0/0
          >> ip address 192.168.1.1 255.255.255.0
          >> no ip directed-broadcast
          >>!
          >>interface Ethernet0/1
          >> ip address 192.168.1.2 255.255.255.0
          >> ip access-group permit_out_from_eth01 in
          >> no ip directed-broadcast
          >>!
          >>interface Serial0
          >> no ip address
          >> no ip directed-broadcast
          >> encapsulation frame-relay IETF
          >>!
          >>interface Serial0.1 point-to-point
          >> ip address 11.11.11.2 255.255.255.252
          >> no ip directed-broadcast
          >> frame-relay interface-dlci 16
          >>!
          >>ip access-list extended permit_out_from_eth01
          >>    permit tcp 192.168.2.0 0.0.0.255 any established log
          >>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
          >>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
          >>log
          >>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
          >>
          >>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
          >>
          >>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
          >>
          >>    deny ip any any log
          >>!
          >>ip access-list extended deny_in_to_eth01
          >>    deny ip any 192.168.2.0 0.0.0.255 log
          >>!
          >
          >
          >1. у вас два эзернета смотрящих в одну сеть?
          >2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0
          >?


          Опечатка. сеть 192.168.2.0/24 И eth0/1 192.168.2.1/24

          Ответить | Сообщить модератору
        • Access-list, !*! limit, 14:45 , 10-Авг-06 (7)
          Посмотри лог файрволла и разреши, то что они пытаются сделать.
          А что за хосты: 172.16.20.х? Это все, что угодно?
          Предполагаю, что правильнее: permit tcp 192.168.2.0 0.0.0.255 any eq www

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру