|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Дополнения
1) Правила, действующие на исходящий трафик (out) не будут фильтровать трафик самого устройства. То есть, если нужно запретить самой циске доступ куда-либо, то вам придётся на этом интерфейсе фильтровать входящий трафик (ответный оттуда, куда надо запретить доступ). 2) C ACL надо быть аккуратнее. При небольшой ошибке в правиле, неправильном порядке настройки или вообще плохо продуманном списке вы можете остаться без доступа к устройству.
deny ip 172.16.6.0 0.0.0.255 any permit ip host 172.16.6.61 any
3) Из 2-го пункта вытекает очень похожая и интересная проблема. access-list out permit tcp host 1.1.1.1 host 2.2.2.2 eq 80 access-list in permit tcp host 2.2.2.2 any eq 80
permit tcp host 2.2.2.2 any established.
4) Говоря про современный мир, нельзя обойти такой инструмент, как объектные группы (Object-group). Допустим, надо составить ACL, выпускающий три определенных адреса в интернет по трем одинаковым портам c перспективой расширения количества адресов и портов. Как это выглядит без знания объектных групп: ip access-list extended TO-INTERNET permit tcp host 172.16.6.66 any eq 80 permit tcp host 172.16.6.66 any eq 8080 permit tcp host 172.16.6.66 any eq 443 permit tcp host 172.16.6.67 any eq 80 permit tcp host 172.16.6.67 any eq 8080 permit tcp host 172.16.6.67 any eq 443 permit tcp host 172.16.6.68 any eq 80 permit tcp host 172.16.6.68 any eq 8080 permit tcp host 172.16.6.68 any eq 443
object-group service INET-PORTS description Ports allowed for some hosts tcp eq www tcp eq 8080 tcp eq 443 object-group network HOSTS-TO-INET ip access-list extended INET-OUT
4) Очень полезную для траблшутинга информацию можно получить из вывода команды show ip access-lists %имя ACL%. Кроме собственно списка правил указанного ACL, эта команда показывает количество совпадений по каждому правилу. Extended IP access list nat-inet permit tcp 172.16.3.0 0.0.0.255 host 192.0.2.2 eq www permit ip 172.16.5.0 0.0.0.255 host 192.0.2.3 permit ip 172.16.5.0 0.0.0.255 host 192.0.2.4 permit ip host 172.16.4.123 any permit ip host 172.16.6.61 any permit ip host 172.16.6.66 any<b> (4 match(es))</b> permit ip host 172.16.16.222 any permit ip host 172.16.17.222 any permit ip host 172.16.24.222 any
А дописав в конце любого правила log, мы сможем получать сообщения о каждом совпадении в консоль. (последнее не работает в PT) NAT Network Address Translation — механизм в хозяйстве совершенно необходимый уже с 1994-го года. Много сессий об него сломано и пакетов потеряно. 10.0.0.0/8 Их вы свободно можете использовать в своей частной сети, и поэтому, разумеется, они будут повторяться. Как же быть с уникальностью? Кому будет отвечать WEB-сервер, которому пришёл запрос с обратным адресом 192.168.1.1? Ростелекому? Компании Татнефть? Или вашему комнатному Длинку? В большом интернете никто ничего не знает о приватных сетях — они не маршрутизируются. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.) |