forum.opennet.ru - "Закрыть ICMP с одной стороны" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Закрыть ICMP с одной стороны"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Закрыть ICMP с одной стороны"	+/–
Сообщение от kolyaniust (ok) on 13-Апр-11, 01:56
Доброго времени суток, господа подскажите как решить тривиальную задачу. ЕСТЬ: ЦО и Филиалы между ними туннели, на железе филиала закрыть невозможно, возможность есть только на цыске ЦО. interface Tunnel29 ip address 192.168.15.249 255.255.255.252 ip mtu 1400 tunnel source 91.204.X.X tunnel destination 82.X.X.X tunnel key 1 tunnel protection ipsec profile tun shared end Задача закрыть весь трафик, а особенно ICMP со стороны филиала, кроме почты. Понимаю что нужно повесить на интерфейсе возможно даже данном interface Tunnel29 ip access-group 147 in ip access-group 148 out А вот токовый ACL написать не могу. Этим мы откроем почту, а вот как закрыть ) ? access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq smtp access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq pop3 access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 465 access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 995 За ранее благодарю!
Ответить \| Правка \| Cообщить модератору

Оглавление

Закрыть ICMP с одной стороны, crash, 06:09 , 13-Апр-11, (1)

Закрыть ICMP с одной стороны, kolyaniust, 15:59 , 13-Апр-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Закрыть ICMP с одной стороны" +/–

Сообщение от crash (ok) on 13-Апр-11, 06:09

Если вы открыли только tcp, то icmp и не должно работать, но можете в начале правил добавить правило:
access-list 147 deny icmp 10.10.11.0 0.0.0.255 any
Этим вы закроете icmp.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Закрыть ICMP с одной стороны" +/–

Сообщение от kolyaniust (ok) on 13-Апр-11, 15:59

получилось вот так :
access-list 146 permit tcp any host 192.168.0.5 eq smtp
access-list 146 permit tcp any host 192.168.0.5 eq pop3
access-list 146 permit tcp any host 192.168.0.5 eq 465
access-list 146 permit tcp any host 192.168.0.5 eq 995
access-list 146 permit icmp any any echo-reply
access-list 146 permit tcp any any established
access-list 146 deny icmp any any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Закрыть ICMP с одной стороны"	+/–
Сообщение от crash (ok) on 13-Апр-11, 06:09
Если вы открыли только tcp, то icmp и не должно работать, но можете в начале правил добавить правило: access-list 147 deny icmp 10.10.11.0 0.0.0.255 any Этим вы закроете icmp.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Закрыть ICMP с одной стороны"	+/–
	Сообщение от kolyaniust (ok) on 13-Апр-11, 15:59
	получилось вот так : access-list 146 permit tcp any host 192.168.0.5 eq smtp access-list 146 permit tcp any host 192.168.0.5 eq pop3 access-list 146 permit tcp any host 192.168.0.5 eq 465 access-list 146 permit tcp any host 192.168.0.5 eq 995 access-list 146 permit icmp any any echo-reply access-list 146 permit tcp any any established access-list 146 deny icmp any any
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору