builder Опубликовано 14 сентября, 2009 · Жалоба Понадобилось приготовить сей аппарат в качестве фильтрующего бриджа. Бридж сделал, через BVI присвоил IP (как я думал для управления) на него повесил ACL позволяющий доступ на аппарат только с конкретного адреса. Всё работает, фильтр прозрачен, доступ на него ограничен. А как применить ACL для фильтрации нежелательных портов и протоколов через бридж? Точнее на что его вешать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 15 сентября, 2009 · Жалоба Чего-то не так или не там спросил? Или циска не заслуживает внимания? ;) Спрошу по другому - чем (как) фильтровать forward-трафик на циске в режиме бриджа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 15 сентября, 2009 · Жалоба Спасибо за ответы, чудом с помощью нашёл: The transparent IOS firewall feature is available in select Cisco IOS software releases, beginning with 12.3(7)T. Currently, only the following router platforms are supported: Cisco 806, 831, 836, 837, 1701, 1710, 1711, 1712, 1721, 1751, 1760, 1841, 2811, 2821, 2851, 3825, and 3845. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 сентября, 2009 · Жалоба Она хоть мегабит-то отбриджует? Дохлая же... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 16 сентября, 2009 · Жалоба Там где она (и 806-ые) раньше стояла, наелась по полной, было замечено, с роутингом и натом прожёвывала около 3 мегабит, но при возрастании pps загибалась. Потом был снят нат, сильно ситуацию не изменило, думаю pps для неё главней. Загибалась тупо в 101% по CPU и глухота по консоли ;). Думаю в бриджинге на 4 мегабита должна устоять, разве что ip inspect прочитал память хавает. Но в ней 32 метра добито когда-то не родной ;) памяти. Приму любые советы и замечания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 сентября, 2009 · Жалоба Нет, не потянет - бриджинг даже в CEF не внесен. Хотя могли допилить, я давно с бриджингом дел не имел... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
builder Опубликовано 16 сентября, 2009 · Жалоба Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам? Я тут ковыряюсь с одной, как уже писал, она бриджует, с нагрузкой правда пока не проверить. Но вот ip inspect ну никак не хочет работать, делаю по примеру с http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_trans.html в результате показывает, что inspect включён, собственно вот: #sh ip inspect all Session audit trail is disabled Session alert is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec tcp idle-time is 3600 sec -- udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection name test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Interface Configuration Interface Ethernet0 Inbound inspection rule is test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Outgoing inspection rule is not set Inbound access list is not set Outgoing access list is 106 Interface Ethernet1 Inbound inspection rule is test1 tcp alert is on audit-trail is off timeout 3600 udp alert is on audit-trail is off timeout 30 Outgoing inspection rule is not set Inbound access list is not set Outgoing access list is 106 Но трафик в ACL не попадает, хотя и бегает через бридж без проблем. Мож кто сталкивался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 сентября, 2009 · Жалоба Т.е. пересылка с интерфейса на интерфейс гороздо затруднительней по ресурсам?Ага, поскольку выполняется не в CEF, а в userspace, что требует переключений контекста.У меня 7206/NPE-G1 под бриджингом временами просто дохла, хотя там и трафика особо не было, чисто управление свитчами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...