юзерок Posted April 6, 2007 Posted April 6, 2007 Добрый день. Есть пограничная циска, смотрит в инет и в локалку. Настроен PAT. Задача сделать чтобы из вне все было закрыто, а юзеры из локалки наоборот все видели в инете. Если сделать acl который будет рубить все (deny ip any any), то не будет работать и сам PAT. Неужели на циске нельзя настроить как в линуксовом iptables - чтобы цепочка INPUT была DROP, а FORWARD ACCEPT? На данный момент сделал костыльный ACL, который режет только явно открытые сервисы на циске - telnet и icmp echo. Но это явно неправильно. Есть идея использовать reflexive ACL для того чтобы пропускать входящих трафик из вне только для сессий, открытых выходящим пакетом. Но при этом не будет работать часть протоколов, таких как FTP в активном режиме, т.к. ответ от FTP идет не на порт, которым была открыта сессия (использовать только passive ftp не подходит). Подскажите как грамотно написать acl для моего случая. interface FastEthernet0/0 description to_lan ip address 10.10.10.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/1/0 description to_inet ip address x.x.x.1 255.255.255.252 ip access-group 101 in ip nat outside no fair-queue ! ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.2 ! ip nat inside source list 1 interface Serial0/1/0 overload ! access-list 1 permit 10.10.10.0 0.0.0.255 access-list 101 permit icmp any 10.10.10.0 0.0.0.255 echo-reply access-list 101 deny icmp any any access-list 101 deny tcp any any eq telnet access-list 101 permit ip any any Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.