alibek Опубликовано 4 февраля, 2016 Что-то никак не соображу. Есть маршрутизатор Cisco. У него есть несколько десятков интерфейсов. Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами). Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaool Опубликовано 4 февраля, 2016 (изменено) access-list 11 permit host %yourremotehost% Line vty 0 15 access-class 11 in Transport input ssh access-list 12 permit host %yourremotehost% snmp-server comunity 123 Ro 12 И тому подобное для ntp и т.д. Это самый верный способ закрытия внутренних сервисов ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера. Изменено 4 февраля, 2016 пользователем Xaool Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 февраля, 2016 ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaool Опубликовано 4 февраля, 2016 ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать. зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо на l3-свитчах тоже самое Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 февраля, 2016 Xaool чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 4 февраля, 2016 ip local policy route-map возможный вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 4 февраля, 2016 ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 февраля, 2016 alibek у Cisco аналог iptables INPUT это либо acl-ки на всяческие line-ы, либо CoPP. CoPP надёжнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 5 февраля, 2016 ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе. На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201. По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов. Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 февраля, 2016 Понятно. Жаль, я думал, что в C7201 все же есть настоящий файрвол. Ну значит буду вешать ACL на сервисы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...