Jump to content
Калькуляторы

ACL на коммутаторах S29xx

Столкнулся с проблемой фильтрации трафика на коммутаторах SNR. Firewall включен, списки созданы.

Отсутствует аналогичная Cisco команда ip access-group NAME out.

Имеется только ip access-group NAME in. Требуется разрешить исходящий трафик в сторону порта определенным сетям (адресам) остальное блокировать.

Как решить данную задачу? 

Share this post


Link to post
Share on other sites

@AM_Diagnost

На моделях определенных линеек действительно отсутствует возможность добавить ACL на out.

Если destination MAC или IP за этим портов известен, можно применить ACL, разрешающий для этих destination трафик только от определенных адресов, затем добавить его на все порты.

Share this post


Link to post
Share on other sites

Вышеуказанный вариант не подойдет, т.к. коммутатор подключен одним портом к Интернет, а остальные - это абонентские устройства и сервер (на который и применяю ACL).

Выходит, что применив правило, я отключаю от интернета все абонентские устройства (смогут обмениваться трафиком только по правилу для сервера, остальной трафик запрещен)

 

конкретная задача: явно указать устройства, которым разрешен доступ из внешней сети к серверу(остальное запрет). средствами самого коммутатора. Обдумывал вариант с вланами, но есть другие устройства, работающими в едином vlan, что и сервер.

 

попробую вариант с указанием MAC или IP сервера, надеюсь правило deny any не заблокирует остальное

 

Share this post


Link to post
Share on other sites

К примеру так, где 5.5.5.0/24 сеть, которой нужно разрешить доступ к серверу 10.10.10.10, а eth1/0/1 аплинк.

 

!
ip access-list extended server
  permit ip host-source 5.5.5.0 0.0.0.255 host-destination 10.10.10.10
  deny ip any-source host-destination 10.10.10.10
  exit
!
Interface Ethernet1/0/1
 ip access-group server in
!

 

Share this post


Link to post
Share on other sites

В 26.04.2019 в 10:00, Aleksey Sonkin сказал:

permit ip host-source 5.5.5.0 0.0.0.255 host-destination 10.10.10.10

permit ip host-source 6.6.6.6 host-destination 10.10.10.10

permit ip 5.5.5.0 0.0.0.255 host-destination 10.10.10.10

так вернее, но все равно не заработало правило (firewall enable)

 

Share this post


Link to post
Share on other sites

вроде всё заработало, я ошибся и указал аплинком порт к провайдеру, а нужно было к маршрутизатору (с него ведь запросы идут)

!

access-list 299 permit ip 5.5.5.0 0.0.0.255 host-destination 10.10.10.10

access-list 299 ip host-source 6.6.6.6 host-destination 10.10.10.10

access-list 299 deny ip any-source host-destination 10.10.10.10

!

Interface Ethernet1/0/1
 ip access-group 299 in

!

Спасибо за помощь!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.