[alibek]

Что-то никак не соображу.

Есть маршрутизатор Cisco.

У него есть несколько десятков интерфейсов.

Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами).

Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов?

[Xaool]

access-list 11 permit host %yourremotehost%

Line vty 0 15

access-class 11 in

Transport input ssh

 

access-list 12 permit host %yourremotehost%

snmp-server comunity 123 Ro 12

 

И тому подобное для ntp и т.д.

Это самый верный способ закрытия внутренних сервисов

ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера.

Изменено 4 февраля, 2016 пользователем Xaool

[s.lobanov]

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

[Xaool]

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

 

Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :)

[s.lobanov]

Xaool

чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200

[GrandPr1de]

ip local policy route-map

возможный вариант

[alibek]

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

[s.lobanov]

alibek

у Cisco аналог iptables INPUT это либо acl-ки на всяческие line-ы, либо CoPP. CoPP надёжнее

[NikAlexAn]

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов.

Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте.

[alibek]

Понятно.

Жаль, я думал, что в C7201 все же есть настоящий файрвол.

Ну значит буду вешать ACL на сервисы.