[builder]

Понадобилось приготовить сей аппарат в качестве фильтрующего бриджа.

Бридж сделал, через BVI присвоил IP (как я думал для управления) на него повесил ACL позволяющий

доступ на аппарат только с конкретного адреса. Всё работает, фильтр прозрачен, доступ на него ограничен.

А как применить ACL для фильтрации нежелательных портов и протоколов через бридж?

Точнее на что его вешать?

[builder]

Чего-то не так или не там спросил? Или циска не заслуживает внимания? ;)

Спрошу по другому - чем (как) фильтровать forward-трафик на циске в режиме бриджа?

[builder]

Спасибо за ответы, чудом с помощью нашёл:

The transparent IOS firewall feature is available in select Cisco IOS software releases, beginning with 12.3(7)T. Currently, only the following router platforms are supported: Cisco 806, 831, 836, 837, 1701, 1710, 1711, 1712, 1721, 1751, 1760, 1841, 2811, 2821, 2851, 3825, and 3845.

 

[UglyAdmin]

Она хоть мегабит-то отбриджует? Дохлая же...

[builder]

Там где она (и 806-ые) раньше стояла, наелась по полной, было замечено,

с роутингом и натом прожёвывала около 3 мегабит, но при возрастании pps загибалась.

Потом был снят нат, сильно ситуацию не изменило, думаю pps для неё главней.

Загибалась тупо в 101% по CPU и глухота по консоли ;).

Думаю в бриджинге на 4 мегабита должна устоять, разве что ip inspect прочитал память хавает.

Но в ней 32 метра добито когда-то не родной ;) памяти.

Приму любые советы и замечания.

[UglyAdmin]

Нет, не потянет - бриджинг даже в CEF не внесен.

Хотя могли допилить, я давно с бриджингом дел не имел...

[builder]

Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?

Я тут ковыряюсь с одной, как уже писал, она бриджует, с нагрузкой правда пока не проверить.

Но вот ip inspect ну никак не хочет работать, делаю по примеру с http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_trans.html

в результате показывает, что inspect включён, собственно вот:

#sh ip inspect all

Session audit trail is disabled

Session alert is enabled

one-minute (sampling period) thresholds are [400:500] connections

max-incomplete sessions thresholds are [400:500]

max-incomplete tcp connections per host is 50. Block-time 0 minute.

tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec

tcp idle-time is 3600 sec -- udp idle-time is 30 sec

dns-timeout is 5 sec

Inspection Rule Configuration

Inspection name test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

 

Interface Configuration

Interface Ethernet0

Inbound inspection rule is test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

Outgoing inspection rule is not set

Inbound access list is not set

Outgoing access list is 106

Interface Ethernet1

Inbound inspection rule is test1

tcp alert is on audit-trail is off timeout 3600

udp alert is on audit-trail is off timeout 30

Outgoing inspection rule is not set

Inbound access list is not set

Outgoing access list is 106

Но трафик в ACL не попадает, хотя и бегает через бридж без проблем.

Мож кто сталкивался.

 

[UglyAdmin]

Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?

Ага, поскольку выполняется не в CEF, а в userspace, что требует переключений контекста.

У меня 7206/NPE-G1 под бриджингом временами просто дохла, хотя там и трафика особо не было, чисто управление свитчами.