О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

security zone-pair any

MES, ESR
Снежок
Сообщения: 23
Зарегистрирован: 10 янв 2019 04:27
Reputation: 0

security zone-pair any

Сообщение Снежок » 25 апр 2019 16:13

В конструкциях типа security zone-pair zone1 any, вот этот оператор any, очень мало информации по нему.
Какой у него приоритет на другими парами зон, очередность обработки пар зон, когда его использовать или лучше вобще не использовать?
Если конкретнее вот два примера

1.

security zone-pair zone1 zone2
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit

2.

security zone-pair zone1 any
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit

В первом случае из zone1 в zone2 доступ есть , во втором с any нет.
Хотелось бы более менее развернутый ответ.Спасибо.

esr1000 1.4.4 build 6[4bd3714d6f] date 15/01/2019

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: security zone-pair any

Сообщение leonid_zarkov » 26 апр 2019 12:43

Добрый день!

Пара зон <zone_name> any необходима для организации фильтрации фрагментированных пакетов и фильтрации по наличию ip-options из указанной зоны безопасности <zone_name>.

Пару зон <zone_name> any необходимо исопльзовать как дополнение к основным парам зон security zone-pair <zone_name1> <zone_name2>.

Пример конфигурации фильтрации фрагментированных пакетов и пакетов с ip-option из зоны WAN:

Код: Выделить всё

security zone LAN
exit
security zone WAN
exit
interface gigabitethernet 1/0/1
  security-zone WAN
  ip address 192.0.2.1/24
exit
interface gigabitethernet 1/0/2
  security-zone LAN
  ip address 192.168.0.10/24
exit
security zone-pair WAN LAN
  rule 10
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit
security zone-pair WAN any
  rule 10
    action deny
    match fragment
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 20
    action deny
    match protocol icmp
    match source-address any
    match destination-address any
    match ip-option
    enable
  exit
exit
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

Снежок
Сообщения: 23
Зарегистрирован: 10 янв 2019 04:27
Reputation: 0

Re: security zone-pair any

Сообщение Снежок » 26 апр 2019 14:16

Спасибо, Леонид.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей