alibek Posted February 4, 2016 Что-то никак не соображу. Есть маршрутизатор Cisco. У него есть несколько десятков интерфейсов. Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами). Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaool Posted February 4, 2016 (edited) access-list 11 permit host %yourremotehost% Line vty 0 15 access-class 11 in Transport input ssh access-list 12 permit host %yourremotehost% snmp-server comunity 123 Ro 12 И тому подобное для ntp и т.д. Это самый верный способ закрытия внутренних сервисов ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера. Edited February 4, 2016 by Xaool Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaool Posted February 4, 2016 ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 Xaool чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted February 4, 2016 ip local policy route-map возможный вариант Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 4, 2016 ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 alibek у Cisco аналог iptables INPUT это либо acl-ки на всяческие line-ы, либо CoPP. CoPP надёжнее Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted February 5, 2016 ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов. Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 5, 2016 Понятно. Жаль, я думал, что в C7201 все же есть настоящий файрвол. Ну значит буду вешать ACL на сервисы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...