AM_Diagnost Posted April 25, 2019 · Report post Столкнулся с проблемой фильтрации трафика на коммутаторах SNR. Firewall включен, списки созданы. Отсутствует аналогичная Cisco команда ip access-group NAME out. Имеется только ip access-group NAME in. Требуется разрешить исходящий трафик в сторону порта определенным сетям (адресам) остальное блокировать. Как решить данную задачу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted April 25, 2019 · Report post @AM_Diagnost На моделях определенных линеек действительно отсутствует возможность добавить ACL на out. Если destination MAC или IP за этим портов известен, можно применить ACL, разрешающий для этих destination трафик только от определенных адресов, затем добавить его на все порты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AM_Diagnost Posted April 26, 2019 · Report post Вышеуказанный вариант не подойдет, т.к. коммутатор подключен одним портом к Интернет, а остальные - это абонентские устройства и сервер (на который и применяю ACL). Выходит, что применив правило, я отключаю от интернета все абонентские устройства (смогут обмениваться трафиком только по правилу для сервера, остальной трафик запрещен) конкретная задача: явно указать устройства, которым разрешен доступ из внешней сети к серверу(остальное запрет). средствами самого коммутатора. Обдумывал вариант с вланами, но есть другие устройства, работающими в едином vlan, что и сервер. попробую вариант с указанием MAC или IP сервера, надеюсь правило deny any не заблокирует остальное Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Aleksey Sonkin Posted April 26, 2019 · Report post К примеру так, где 5.5.5.0/24 сеть, которой нужно разрешить доступ к серверу 10.10.10.10, а eth1/0/1 аплинк. ! ip access-list extended server permit ip host-source 5.5.5.0 0.0.0.255 host-destination 10.10.10.10 deny ip any-source host-destination 10.10.10.10 exit ! Interface Ethernet1/0/1 ip access-group server in ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AM_Diagnost Posted May 2, 2019 · Report post В 26.04.2019 в 10:00, Aleksey Sonkin сказал: permit ip host-source 5.5.5.0 0.0.0.255 host-destination 10.10.10.10 permit ip host-source 6.6.6.6 host-destination 10.10.10.10 permit ip 5.5.5.0 0.0.0.255 host-destination 10.10.10.10 так вернее, но все равно не заработало правило (firewall enable) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AM_Diagnost Posted May 2, 2019 · Report post вроде всё заработало, я ошибся и указал аплинком порт к провайдеру, а нужно было к маршрутизатору (с него ведь запросы идут) ! access-list 299 permit ip 5.5.5.0 0.0.0.255 host-destination 10.10.10.10 access-list 299 ip host-source 6.6.6.6 host-destination 10.10.10.10 access-list 299 deny ip any-source host-destination 10.10.10.10 ! Interface Ethernet1/0/1 ip access-group 299 in ! Спасибо за помощь! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...