alibek Posted February 4, 2016 · Report post Что-то никак не соображу. Есть маршрутизатор Cisco. У него есть несколько десятков интерфейсов. Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами). Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaool Posted February 4, 2016 (edited) · Report post access-list 11 permit host %yourremotehost% Line vty 0 15 access-class 11 in Transport input ssh access-list 12 permit host %yourremotehost% snmp-server comunity 123 Ro 12 И тому подобное для ntp и т.д. Это самый верный способ закрытия внутренних сервисов ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера. Edited February 4, 2016 by Xaool Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 · Report post ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Xaool Posted February 4, 2016 · Report post ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 · Report post Xaool чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted February 4, 2016 · Report post ip local policy route-map возможный вариант Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 4, 2016 · Report post ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 4, 2016 · Report post alibek у Cisco аналог iptables INPUT это либо acl-ки на всяческие line-ы, либо CoPP. CoPP надёжнее Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted February 5, 2016 · Report post ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов. Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 5, 2016 · Report post Понятно. Жаль, я думал, что в C7201 все же есть настоящий файрвол. Ну значит буду вешать ACL на сервисы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...