URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18027
[ Назад ]

Исходное сообщение
"Аналог ipfw lookup tables в IOS"

Отправлено kabiolskiy , 16-Янв-09 13:33 
Добрый день.
В ipfw можно написать, к примеру, так:
ipfw add 100 allow ip from table(1) to any
или так:
ipfw add 101 allow tcp from table(2) to any dst-port 80
и уже потом руками (или другим способом) менять полученный список доступа (ipfw table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не меняя правил и их последовательности в фаерволе.

Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким cпособом?


Содержание

Сообщения в этом обсуждении
"Аналог ipfw lookup tables в IOS"
Отправлено fantom , 16-Янв-09 13:37 
>[оверквотинг удален]
>В ipfw можно написать, к примеру, так:
>ipfw add 100 allow ip from table(1) to any
>или так:
>ipfw add 101 allow tcp from table(2) to any dst-port 80
>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>меняя правил и их последовательности в фаерволе.
>
>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>cпособом?

Посмотрите в сторону policy


"Аналог ipfw lookup tables в IOS"
Отправлено kabiolskiy , 16-Янв-09 13:49 
>[оверквотинг удален]
>>или так:
>>ipfw add 101 allow tcp from table(2) to any dst-port 80
>>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>>меняя правил и их последовательности в фаерволе.
>>
>>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>>cпособом?
>
>Посмотрите в сторону policy

Чуток конкретизируйте (примером или на словах) пожайлуста.


"Аналог ipfw lookup tables в IOS"
Отправлено Eduard_k , 16-Янв-09 14:04 
>[оверквотинг удален]
>>>и уже потом руками (или другим способом) менять полученный список доступа (ipfw
>>>table 1 add A.B.C.D или ipfw table 2 delete A.B.C.D), не
>>>меняя правил и их последовательности в фаерволе.
>>>
>>>Вопрос. Возможно ли в IOS (платформа и версия) реализовать аналогичную задачу таким
>>>cпособом?
>>
>>Посмотрите в сторону policy
>
>Чуток конкретизируйте (примером или на словах) пожайлуста.

PBR тут не поможет нет.
Насколько я понял вопрос вам поможет функционал object-group
Пример:
object-group network XXX
10.1.1.1 255.255.255.255

ip access-list extendet test
permit ip any object-group XXX

В IOS он к сожалению появился недавно, если память мне не изменяет с 14.4(20)Т


"Аналог ipfw lookup tables в IOS"
Отправлено Eduard_k , 16-Янв-09 15:35 

>В IOS он к сожалению появился недавно, если память мне не изменяет
>с 14.4(20)Т

ой, очепятка, с 12.4(20)Т конечно.


"Аналог ipfw lookup tables в IOS"
Отправлено kabiolskiy , 16-Янв-09 18:47 
>
>>В IOS он к сожалению появился недавно, если память мне не изменяет
>>с 14.4(20)Т
>
>ой, очепятка, с 12.4(20)Т конечно.

Спасибо. Проверю отпишусь.