The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"настройка зоны ZBF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"настройка зоны ZBF"  +/
Сообщение от Roma (??) on 16-Окт-11, 07:52 
Здравствуйте!
Я новичок в циске и не могу разобраться
нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела
вот что настроено


class-map type inspect match-all EX
match protocol icmp
match protocol telnet
match protocol http  
match protocol tcp
match protocol udp
match protocol ftp
!
policy-map type inspect InsideToOutSide
class type inspect EX
  inspect
!
!
!
zone security Inside
zone security Outside
zone-pair security InsideToOutside source Inside destination Outside
service-policy type inspect InsideToOutSide
!
interface FastEthernet0/0
ip address 79.199.200.1 255.255.255.0
zone-member security Outside
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
zone-member security Inside
ip nat inside
duplex auto
speed auto
!
interface Serial0/2/0
no ip address
shutdown
!
interface Serial0/2/1
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
version 2
network 79.0.0.0
network 192.168.0.0
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
ip classless
!
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 2 permit 192.168.0.0 0.0.0.255
access-list 5 permit 192.168.0.0 0.0.0.255

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "настройка зоны ZBF"  +/
Сообщение от Алексей (??) on 16-Окт-11, 12:20 
> Здравствуйте!
> Я новичок в циске и не могу разобраться
> нужно сделать чтобы внешняя сеть - 79.199.200.0 внутреннюю - 192.168.0.0 не видела

1. Определим зоны безопасности
----------------------------------------------
   zone security out-zone
   zone security in-zone

2. Определим интерфейсы в зоны
----------------------------------------------
interface Vlan 1
    zone-member security in-zone
  interface Dialer 0
    zone-member security out-zone
----------------------------------------------
3.Определеним протоколы по которым  разрешен доступ в  интернет

class-map type inspect match-any insp-traffic
         match protocol icmp
         match protocol smtp
          match protocol pop3
         match protocol ftp
----------------------------------------------
4. Создадим политику

policy-map type inspect mypolicy
   class type inspect insp-traffic
   inspect
----------------------------------------------
5.Создадим цепочку правил inside -> outside

zone-pair security in-out source in-zone dest out-zone
  service-policy type inspect mypolicy


Вот кратенькая шпаргалка.
Только обратите, что интерфейсы у Вас будут свои (не Vlan b Dialer).
А вообще читайте доки, разбирайтесь. Все есть. Да и на форуме темя не однократно поднималась.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "настройка зоны ZBF"  +/
Сообщение от Roma (??) on 16-Окт-11, 12:27 
кажется нашел ошибку - у меня class-map c логикой AND
спасибо, буду пробовать
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "настройка зоны ZBF"  +/
Сообщение от Roma (??) on 16-Окт-11, 15:38 
не помогло, все также не пропускает внутреннюю сеть к внешней
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "настройка зоны ZBF"  +/
Сообщение от Алексей (??) on 16-Окт-11, 16:04 
> не помогло, все также не пропускает внутреннюю сеть к внешней

А что у Вас с этим вот ?
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "настройка зоны ZBF"  +/
Сообщение от Roma (??) on 16-Окт-11, 16:11 
> ip nat inside source list 101 interface FastEthernet0/0 overload

это удалил

> ip nat inside source list 2 interface FastEthernet0/0 overload

это для NAT


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "настройка зоны ZBF"  +/
Сообщение от Алексей (??) on 16-Окт-11, 16:52 
>> ip nat inside source list 101 interface FastEthernet0/0 overload
> это удалил
>> ip nat inside source list 2 interface FastEthernet0/0 overload
> это для NAT

Да понятно что для нат..
Хорошо, а без настройки ZBF все работает?
Что за модель железки?
Уверены, что LAN интерфейс fa0/1, а не Vlan?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "настройка зоны ZBF"  +/
Сообщение от Алексей (??) on 16-Окт-11, 16:56 
Да и что с маршрутизацие то?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "настройка зоны ZBF"  +/
Сообщение от Roma (??) on 16-Окт-11, 16:56 
> Хорошо, а без настройки ZBF все работает?

да все работает
> Уверены, что LAN интерфейс fa0/1, а не Vlan?

точно

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "настройка зоны ZBF"  +/
Сообщение от Алексей (??) on 17-Окт-11, 11:51 
> да все работает
>> Уверены, что LAN интерфейс fa0/1, а не Vlan?
> точно

Может в IOS дело. Вы так и не сказали какой.
Вот еще "шпаргалка"

1.  зоны безопасности

zone security SAFE
  description LAN
zone security WILD
  description WAN

2. интерфейсы в зоны

interface Dialer 0
  zone-member security WILD
interface Vlan 1
  zone-member security SAFE

3.определеним протоколы по которым  разрешен доступ в  интернет,
class-map type inspect match-any IN2OUT
  match protocol icmp
  match protocol http
  match protocol tcp
  --- + что еще надо

4. создание политики

policy-map type inspect IN2OUT
  class type inspect IN2OUT
  inspect

policy-map type inspect OUT2IN
   class class-default
   drop

policy-map type inspect ROUTER
  class class-default
  pass


5.создаем цепочку inside -> outside

zone-pair security IN2OUT source SAFE destination WILD
   service-policy type inspect IN2OUT

zone-pair security OUT2IN source WILD destination SAFE
   service-policy type inspect OUT2IN

zone-pair security SAFE-ROUTER source SAFE destination self
   service-policy type inspect ROUTER

zone-pair security ROUTER-SAFE source self destination SAFE
  service-policy type inspect ROUTER

Все делал сам и все работало. Разбирался.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру