>>access-list inside_access_in permit icmp any any
> Кстати на icmp не обязательно писать лист для inside интерфейса.
С помощью сниффера выяснил, что если не прописать вот такую строку:
access-list inside_access_in permit icmp any any echo
то пинги изнутри наружу блокируются правилом "inside_access_in"! Может
это из-за того что вшивку свежую поставил, такое у Циски не
документировано, хотя логически объяснимо.
>>access-list outside_access_in permit tcp any host Web_srv eq www
>>access-list outside_access_in permit icmp any any
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Этим листом вы разрешаете пинговать машины вашей сети из интернета, я бы
> написал по другому.
> access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0
Да, я переделал, конкретизировал:
access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 echo-reply
access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 time-exceeded
access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 unreachable
>>access-list outside_access_in permit tcp any any
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> а этим листом вы разрешаете входящие соединения по tcp на всю сеть. Я бы
> разрешил коннект извне только для web. access-list outside_access_in permit tcp
> any host Web_srv eq список портов сервера.
Да, это конечно же ляпа, я переделал:
access-list outside_access_in permit tcp any host Web_srv eq www
> P.S. Советую на этом не останавливаться, а прописать еще листы на private and
> reserved адреса интернета и т.п.
То есть выяснить на каких портах DNS'ы висят? С этим еще не
разбирался, но ожидаю заморочки. DNS - внешний, значит изнутри на
WEB-сервер народ через левое ухо будет попадать по имени.
Можете для этого случая подсказать конфиг?
> Совсем забыл, еще несколько замечаний.
> 1. Обязательно смените имя community snmp.
Угу, сенькс.
> 2. Напишите acl на ограничение доступа по snmp.
Вот так пойдет:
access-list outside_access_in deny udp any eq 161 any eq 161
?
> 3. Зачем вам pdm на два ip, если http server прописан на один адрес?
По-хорошему надо, наверное, на три порта, ну да это вопрос двухсот
баксов, потом докупим.
Преогромнейшее сенькс.