О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Помогите с настройка DMZ на основе ACL

MES, ESR
FiLL
Сообщения: 2
Зарегистрирован: 01 дек 2021 16:05
Reputation: 0
Откуда: ООО "Т8"

Помогите с настройка DMZ на основе ACL

Сообщение FiLL » 01 дек 2021 19:09

Коллеги, добрый день!
Для создания DMZ и размещения в паблике тестового сервера
- Создан сегмент сети, например 192.168.250.0/24 и выведен в отдельный Vlan_250
- Сервис в этом сегменте размещен на адресе 192.168.250.100
- Проброшены ТРЕБУЕМЫЕ ПОРТЫ, а не все, на внешний IP (на файерволе)

Задача:
- В выделенном сегменте сети разрешить 192.168.250.100 доступ ТОЛЬКО в Интернет gw 192.168.250.250
Extended IP access list service
permit ip any any 192.168.250.0 0.255.255.255 host 192.168.250.250 0.255.255.255 ace-priority 20
deny ip any any 192.168.250.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 80

interface vlan 250
name service
ip address 192.168.250.250 255.255.255.0
service-acl input service


- Разрешить доступ к выделенному сегменту сети 192.168.250.0/24 или vlan 250 только на адрес 192.168.250.100 из внутренних сетей 192.168.0.0 /16 или vlan'ов. Так чтобы доступ был только по запросу из внутренних сетей.

Как это сделать???

Заранее спасибо.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Помогите с настройка DMZ на основе ACL

Сообщение Garri » 02 дек 2021 20:05

Чтобы разрешить доступ из vlan100 на 192.168.250.250, а всё остальное запретить на vlan100 нужно повесить acl (ALC на VLAN действует только на вход в текущей версии прошивки):

ip access-list extended V100_TO_V250
permit ip any any any 192.168.250.250 0.0.0.0
deny ip any any any 192.168.250.0 0.0.0.255
permit ip any any any any
exit

acl для vlan250 попробовать так:

ip access-list extended PC_to_INET
permit ip any any 192.168.250.100 0.0.0.0 192.168.250.250 0.0.0.0
exit


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей