The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Закрыть ICMP с одной стороны"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Закрыть ICMP с одной стороны"  +/
Сообщение от kolyaniust email(ok) on 13-Апр-11, 01:56 
Доброго времени суток, господа подскажите как решить тривиальную задачу.
ЕСТЬ:
ЦО и Филиалы между ними туннели, на железе филиала закрыть невозможно, возможность есть только на цыске ЦО.
interface Tunnel29
ip address 192.168.15.249 255.255.255.252
ip mtu 1400
tunnel source 91.204.X.X
tunnel destination 82.X.X.X
tunnel key 1
tunnel protection ipsec profile tun shared
end

Задача закрыть весь трафик, а особенно ICMP со стороны филиала, кроме почты.

Понимаю что нужно повесить на интерфейсе возможно даже данном interface Tunnel29

ip access-group 147 in
ip access-group 148 out
А вот токовый ACL написать не могу.

Этим мы откроем почту, а вот как закрыть ) ?
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq smtp
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq pop3
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 465
access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 995

За ранее благодарю!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Закрыть ICMP с одной стороны"  +/
Сообщение от crash (ok) on 13-Апр-11, 06:09 
Если вы открыли только tcp, то icmp и не должно работать, но можете в начале правил добавить правило:
access-list 147 deny icmp 10.10.11.0 0.0.0.255 any
Этим вы закроете icmp.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть ICMP с одной стороны"  +/
Сообщение от kolyaniust email(ok) on 13-Апр-11, 15:59 
получилось вот так :
access-list 146 permit tcp any host 192.168.0.5 eq smtp
access-list 146 permit tcp any host 192.168.0.5 eq pop3
access-list 146 permit tcp any host 192.168.0.5 eq 465
access-list 146 permit tcp any host 192.168.0.5 eq 995
access-list 146 permit icmp any any echo-reply
access-list 146 permit tcp any any established
access-list 146 deny   icmp any any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру