https://slinkov.ru/openforum/vsluhforumID6/16587.html Здравствуйте.<br><br>Столкнулся с проблемкой устанавливая прокси.<br>Есть сеть:<br> Интернет<br> &#124;<br> &#124;<br> Firewall ---- DMZ(4.4.4.0)<br> &#124;<br> &#124; --- Proxy (3.3.3.3)<br> &#124;<br> Router Cisco 2600<br> / \<br> / \<br> LAN1(1.1.1.0) LAN2 (2.2.2.0)<br><br>Задача в том чтобы перенаправить весь траффик на портах 80,443 и 21 через прокси из двух локалных сетей, с условием что этот трaффик направлен в интернет а не в DMZ1 или в одну из локальных сетей из другой.<br><br>Настройки маршрутизатора:<br><br>interface FastEthernet0/0 (Внутренний)<br> ip address 2.2.2.254 255.255.255.0 secondary<br> ip address 1.1.1.254 255.255.255.0<br> ip policy route-map gotoproxy<br><br>interface FastEthernet0/1 (Внешний)<br> ip address 3.3.3.1 255.255.255.240<br><br><br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www<br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443<br>a https://slinkov.ru/openforum/vsluhforumID6/16587.html#6 Wed, 25 Jun 2008 10:56:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21 <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Кажется все <br>&gt;&gt;<br>&gt;&gt;Большое спасибо :) <br>&gt;&gt;<br>&gt;&gt;В такой ситации может роутемап пермит 20 вообще не нужен если дефолт <br>&gt;&gt;роуте на фаирвалл? <br>&gt;<br>&gt;Не нужен :<br><br>Спасибо :)<br> https://slinkov.ru/openforum/vsluhforumID6/16587.html#5 Wed, 25 Jun 2008 10:19:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www <br>&gt;&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443 <br>&gt;&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21 <br>&gt;&gt;<br>&gt;&gt;Кажется все <br>&gt;<br>&gt;Большое спасибо :) <br>&gt;<br>&gt;В такой ситации может роутемап пермит 20 вообще не нужен если дефолт <br>&gt;роуте на фаирвалл? <br><br>Не нужен :)<br> https://slinkov.ru/openforum/vsluhforumID6/16587.html#4 Wed, 25 Jun 2008 10:15:24 GMT &gt;[оверквотинг удален]<br>&gt;access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443 <br>&gt;access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21 <br>&gt;access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www <br>&gt;access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443 <br>&gt;access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21 <br>&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www <br>&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443 <br>&gt;access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21 <br>&gt;<br>&gt;Кажется все <br><br>Большое спасибо :)<br><br>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт роуте на фаирвалл?<br> https://slinkov.ru/openforum/vsluhforumID6/16587.html#3 Wed, 25 Jun 2008 09:52:29 GMT ДМЗ еще в аксес листах <br><br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www<br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443<br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21<br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www<br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443<br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21<br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www<br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443<br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443<br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21<br>acc https://slinkov.ru/openforum/vsluhforumID6/16587.html#2 Wed, 25 Jun 2008 09:47:59 GMT Еще подкорректировать роут-мапы<br><br><br>route-map gotoproxy permit 10<br>match ip address 113 114<br>set ip next-hop 3.3.3.3 (Proxy)<br><br>route-map gotoproxy permit 20<br>set ip next-hop 3.3.3.254 (Firewall)<br> https://slinkov.ru/openforum/vsluhforumID6/16587.html#1 Wed, 25 Jun 2008 09:41:30 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;<br>&gt;В такой ситуации все работает прекрасно, проблема между локальными сетями: <br>&gt;Все обращения по данным портам между ними проходят через прокси. <br>&gt;Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не <br>&gt;происходило? <br>&gt;<br>&gt;<br>&gt;Заранее благодарю за любую помощь <br>&gt;Сергей <br><br>Поправь access-list-ы:<br><br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www <br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443 <br>access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21 <br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www <br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443 <br>access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21 <br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www <br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443 <br>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21 <br>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www <br>access-list 1