The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"помогите многоуважаемые Гуру начинающему  "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"помогите многоуважаемые Гуру начинающему  " 
Сообщение от Чайник Искать по авторуВ закладки(??) on 26-Июл-05, 10:11  (MSK)
подскажите плз будет ли это работать - боюсь пока заливать в циску,
интересуют куски где на внутренний сервак 192.168.0.101 пробрасываются
четыре порта из внешней сети но только для IP: YYY.YYY.YYY.YYY.
опасаюсь не закрыл ли я лишнего - тут ещё VoIP_CCME есть,и VPN.

!
version 12.3
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
no service password-encryption
!
hostname Cisco2621XM
!
boot-start-marker
boot-end-marker
!
logging buffered 10000 debugging
enable secret 5 *********************
!
username ******* password 0 *******
username ******* password 0 *******
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
no network-clock-participate slot 1
no network-clock-participate wic 0
aaa new-model
!
!
no ip dhcp conflict logging
!
!
interface Loopback0
ip address 10.248.0.135 255.255.255.255
!
interface FastEthernet0/0
ip address XXX.XXX.XXX.XXX 255.255.255.252
ip access-group 101 in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.0.254 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX  
no ip http server
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.0.101 35899 XXX.XXX.XXX.XXX 35899 extendable no-alias
ip nat inside source static tcp 192.168.0.101 1433 XXX.XXX.XXX.XXX 1433 extendable no-alias
ip nat inside source static udp 192.168.0.101 1434 XXX.XXX.XXX.XXX 1434 extendable no-alias
ip nat inside source static tcp 192.168.0.101 4850 XXX.XXX.XXX.XXX 4850 extendable no-alias
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 35899 XXX.XXX.XXX.XXX
ip access list 101 deny tcp any any eq 35899
ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 1433 XXX.XXX.XXX.XXX
ip access list 101 deny tcp any any eq 1433
ip access list 101 permit udp YYY.YYY.YYY.YYY 0.0.0.3 eq 1434 XXX.XXX.XXX.XXX
ip access list 101 deny udp any any eq 1434
ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 4850 XXX.XXX.XXX.XXX
ip access list 101 deny tcp any any eq 4850
access-list 101 deny   ip host 194.67.57.26 any
access-list 101 deny   ip host 194.67.27.113 any
access-list 101 deny   ip host 194.67.27.125 any
access-list 101 permit ip any any
no cdp log mismatch duplex
!
tftp-server flash:CP7902010200SCCP031023A.sbin
tftp-server flash:P00403020214.bin
tftp-server flash:CP7905010200SCCP031023A.sbin
!
!
!
line con 0
line aux 0
modem InOut
line vty 0 4
access-class 89 in
!
ntp clock-period 17180042
ntp source Loopback0
ntp server 10.0.0.1
!
!
end

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "помогите многоуважаемые Гуру начинающему  " 
Сообщение от Eduard_k emailИскать по авторуВ закладки(??) on 27-Июл-05, 15:50  (MSK)
>подскажите плз будет ли это работать - боюсь пока заливать в циску,
>
>интересуют куски где на внутренний сервак 192.168.0.101 пробрасываются
>четыре порта из внешней сети но только для IP: YYY.YYY.YYY.YYY.
>опасаюсь не закрыл ли я лишнего - тут ещё VoIP_CCME есть,и VPN.
>
>
> !
>version 12.3
>service timestamps debug datetime localtime show-timezone
>service timestamps log datetime localtime show-timezone
>no service password-encryption
>!
>hostname Cisco2621XM
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 10000 debugging
>enable secret 5 *********************
>!
>username ******* password 0 *******
>username ******* password 0 *******
>clock timezone MSK 3
>clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
>
>no network-clock-participate slot 1
>no network-clock-participate wic 0
>aaa new-model
>!
>!
>no ip dhcp conflict logging
>!
>!
>interface Loopback0
> ip address 10.248.0.135 255.255.255.255
>!
>interface FastEthernet0/0
> ip address XXX.XXX.XXX.XXX 255.255.255.252
> ip access-group 101 in
> ip nat outside
> duplex auto
> speed auto
>!
>interface FastEthernet0/1
> ip address 192.168.0.254 255.255.255.0
> ip nat inside
> duplex auto
> speed auto
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
>no ip http server
>ip nat inside source list 1 interface FastEthernet0/0 overload
>ip nat inside source static tcp 192.168.0.101 35899 XXX.XXX.XXX.XXX 35899 extendable no-alias
>
>ip nat inside source static tcp 192.168.0.101 1433 XXX.XXX.XXX.XXX 1433 extendable no-alias
>
>ip nat inside source static udp 192.168.0.101 1434 XXX.XXX.XXX.XXX 1434 extendable no-alias
>
>ip nat inside source static tcp 192.168.0.101 4850 XXX.XXX.XXX.XXX 4850 extendable no-alias
>
>!
>!
>access-list 1 permit 192.168.0.0 0.0.0.255
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 35899 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 35899
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 1433 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 1433
>ip access list 101 permit udp YYY.YYY.YYY.YYY 0.0.0.3 eq 1434 XXX.XXX.XXX.XXX
>ip access list 101 deny udp any any eq 1434
>ip access list 101 permit tcp YYY.YYY.YYY.YYY 0.0.0.3 eq 4850 XXX.XXX.XXX.XXX
>ip access list 101 deny tcp any any eq 4850
>access-list 101 deny   ip host 194.67.57.26 any
>access-list 101 deny   ip host 194.67.27.113 any
>access-list 101 deny   ip host 194.67.27.125 any
>access-list 101 permit ip any any
>no cdp log mismatch duplex
>!
>tftp-server flash:CP7902010200SCCP031023A.sbin
>tftp-server flash:P00403020214.bin
>tftp-server flash:CP7905010200SCCP031023A.sbin
>!
>!
>!
>line con 0
>line aux 0
> modem InOut
>line vty 0 4
> access-class 89 in
>!
>ntp clock-period 17180042
>ntp source Loopback0
>ntp server 10.0.0.1
>!
>!
>end

Работать то оно будет, но смысл этого листа...
Вы выставляете сиквел в интернет ограничивая доступ только акцесс-листом, а если злоумышленник подменит IP? к тому же
access-list 101 permit ip any any
в конце ... надо разрешать только необходимое, остальное закрывать, а насчет SQL, может лучше ipsec - ом его защитить.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "помогите многоуважаемые Гуру начинающему  " 
Сообщение от Чайник Искать по авторуВ закладки(??) on 29-Июл-05, 10:37  (MSK)
спасибо огромное - очень надеялся что оно будет работать :-)))
access-list 101 permit ip any any в конце вообще убрать?
но тогда записать пермит для www,smtp,pop3,и т.д.?
то есть по примерам посмотреть как у людей общий АКЛ сделан?
спасибо ещё раз.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру