forum.opennet.ru - "Требуется помощь в настройке ZBF" (3)

"Требуется помощь в настройке ZBF"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Требуется помощь в настройке ZBF"	+/–
Сообщение от enesays (ok) on 07-Мрт-18, 06:16
Доброго времени суток! Подскажите пожалуйста, что делаю не так при использовании технологии Stateful Inspection ZBF Вот конфиг роутера (Cisco ISR4331) no ip bootp server ip name-server 10.10.11.1 ip domain name contoso.com subscriber templating multilink bundle-name authenticated license udi pid ISR4331/K9 ! vlan internal allocation policy ascending no cdp run ! class-map type inspect match-any UserServices match protocol ssh match protocol ftp match protocol smtp match protocol icmp class-map type inspect match-any For-Inet-Access match class-map UserServices ! policy-map type inspect Internet-Policy class type inspect For-Inet-Access inspect class class-default ! zone security Outside zone security Inside zone-pair security Inside_Outside source Inside destination Outside service-policy type inspect Internet-Policy ! interface GigabitEthernet0/0/0 description =OUTSIDE= ip address 10.10.11.2 255.255.255.0 no ip redirects no ip proxy-arp ip nat outside ip verify unicast reverse-path zone-member security Outside negotiation auto no cdp enable ip virtual-reassembly ! interface GigabitEthernet0/0/1 description =INSIDE= ip address 192.168.100.1 255.255.255.0 ip nat inside zone-member security Inside negotiation auto ! interface Vlan1 no ip address shutdown ! ip nat inside source list NAT_ACL interface GigabitEthernet0/0/0 overload ip forward-protocol nd no ip http server no ip http secure-server ip tftp source-interface GigabitEthernet0 ip dns server ip route 0.0.0.0 0.0.0.0 10.10.11.1 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh logging events ip ssh version 2 ! ip access-list extended NAT_ACL permit ip 192.168.100.0 0.0.0.255 any ! ip access-list extended OUT-2-IN_ACL deny ip any any ! end При данной схеме все работает! внутренние хосты имеют доступ во внешние ресурсы. При сканировании из вне (внешний интерфейс GigabitEthernet 0/0/0) открыты несколько портов, что очень меня беспокоит открытые порты. вот такие результаты сканирования: Nmap scan report for 10.10.11.2 Host is up (0.0013s latency). Not shown: 944 closed ports, 53 filtered ports PORT STATE SERVICE 22/tcp open ssh 23/tcp open telnet 53/tcp open domain Nmap done: 1 IP address (1 host up) scanned in 93.95 seconds Думаю, будет правильно если на внешний интерфейс повесить ACCESS-LIST (OUT-2-IN_ACL) interface GigabitEthernet0/0/0 description =OUTSIDE= ip address 10.10.11.2 255.255.255.0 no ip redirects no ip proxy-arp ip nat outside ip verify unicast reverse-path ip access-group OUT-2-IN_ACL in zone-member security Outside negotiation auto no cdp enable ip virtual-reassembly Но, тогда внутренние хосты не имеют доступ к внешним ресурсам\сервисам, работоспособность теряется. При сканировании результат вот такой: Starting Nmap 7.01 ( https://nmap.org ) Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.10 seconds Как быть? Буду очень признателен за помощь. Спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

Требуется помощь в настройке ZBF, ShyLion, 07:41 , 07-Мрт-18, (1)

Требуется помощь в настройке ZBF, enesays, 06:55 , 12-Мрт-18, (2)

Требуется помощь в настройке ZBF, _, 09:02 , 12-Мрт-18, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Требуется помощь в настройке ZBF" +/–

Сообщение от ShyLion (ok) on 07-Мрт-18, 07:41

> PORT   STATE SERVICE
> 22/tcp open  ssh
> 23/tcp open  telnet
> 53/tcp open  domain
Это сервисы самого роутера. Сам роутер в зоне self.
Соответственно нужно сделать пары для зон Outside и self. Аксес листы - ретроградство.
В полиси для пар, где есть зона self нельзя использовать inspect, только pass или drop.
По умолчанию между зоной self и любой другой, если не задана пара, траффик пропускается.
Гайды читал вообще?
Но это еще не все.
на ip dns server повесь view-list

ip dns view-list DNS_LIST
view default 10
  restrict source access-group dns_clients
ip dns server view-group DNS_LIST
ip dns server
!
ip access-list standart dns_clients
permit 192.168.100.0 0.0.0.255
permit кого надо
!
На линиях vty повесь аксес-лист, и выключи нахрен telnet, он вечнодырявый:

ip access-list extended vty
permit 192.168.100.0 0.0.0.255
permit кого надо
!
line vty 0 4
access-class vty in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class vty in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Требуется помощь в настройке ZBF" +/–

Сообщение от enesays (ok) on 12-Мрт-18, 06:55

>[оверквотинг удален]
>  transport output all
> line vty 5 15
>  access-class vty in vrf-also
>  exec-timeout 120 0
>  logging synchronous
>  history size 256
>  transport input ssh
>  transport output all
> !
>
Спасибо!
Вопрос решен.
Гайды читаю время от времени... только, во многих статейках не описывают self-зону
Вопрос к Вам! Как знатоку!
Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах?
с ISR роутерами опыта совсем хреновый!
Спасибо тебе!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Требуется помощь в настройке ZBF" +/–

Сообщение от _ (??) on 12-Мрт-18, 09:02

>>[оверквотинг удален]
> Спасибо!
> Вопрос решен.
> Гайды читаю время от времени... только, во многих статейках не описывают self-зону
> Вопрос к Вам! Как знатоку!
> Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах?
Потому, что встроенные порты на ISR являются L3.
Поставьте модуль NIM-ES2-4 и получите L2 порты с возможностью организовывать interface VLAN.
> с ISR роутерами опыта совсем хреновый!
Найдите в интренете книгу "CCNA Routing an switching 200-215 Official Cert Guide Library" там разжевано отличие портов на роутере и на свитче.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Требуется помощь в настройке ZBF"	+/–
Сообщение от ShyLion (ok) on 07-Мрт-18, 07:41
> PORT STATE SERVICE > 22/tcp open ssh > 23/tcp open telnet > 53/tcp open domain Это сервисы самого роутера. Сам роутер в зоне self. Соответственно нужно сделать пары для зон Outside и self. Аксес листы - ретроградство. В полиси для пар, где есть зона self нельзя использовать inspect, только pass или drop. По умолчанию между зоной self и любой другой, если не задана пара, траффик пропускается. Гайды читал вообще? Но это еще не все. на ip dns server повесь view-list ip dns view-list DNS_LIST view default 10 restrict source access-group dns_clients ip dns server view-group DNS_LIST ip dns server ! ip access-list standart dns_clients permit 192.168.100.0 0.0.0.255 permit кого надо ! На линиях vty повесь аксес-лист, и выключи нахрен telnet, он вечнодырявый: ip access-list extended vty permit 192.168.100.0 0.0.0.255 permit кого надо ! line vty 0 4 access-class vty in vrf-also exec-timeout 120 0 logging synchronous history size 256 transport input ssh transport output all line vty 5 15 access-class vty in vrf-also exec-timeout 120 0 logging synchronous history size 256 transport input ssh transport output all !
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Требуется помощь в настройке ZBF"	+/–
	Сообщение от enesays (ok) on 12-Мрт-18, 06:55
	>[оверквотинг удален] > transport output all > line vty 5 15 > access-class vty in vrf-also > exec-timeout 120 0 > logging synchronous > history size 256 > transport input ssh > transport output all > ! > Спасибо! Вопрос решен. Гайды читаю время от времени... только, во многих статейках не описывают self-зону Вопрос к Вам! Как знатоку! Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах? с ISR роутерами опыта совсем хреновый! Спасибо тебе!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Требуется помощь в настройке ZBF"	+/–
	Сообщение от _ (??) on 12-Мрт-18, 09:02
	>>[оверквотинг удален] > Спасибо! > Вопрос решен. > Гайды читаю время от времени... только, во многих статейках не описывают self-зону > Вопрос к Вам! Как знатоку! > Почему на роутерах ISR4330 не создаются VLAN`ны? можно создать только на саб-интерфейсах? Потому, что встроенные порты на ISR являются L3. Поставьте модуль NIM-ES2-4 и получите L2 порты с возможностью организовывать interface VLAN. > с ISR роутерами опыта совсем хреновый! Найдите в интренете книгу "CCNA Routing an switching 200-215 Official Cert Guide Library" там разжевано отличие портов на роутере и на свитче.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору