Коллеги, добрый день!
Для создания DMZ и размещения в паблике тестового сервера
- Создан сегмент сети, например 192.168.250.0/24 и выведен в отдельный Vlan_250
- Сервис в этом сегменте размещен на адресе 192.168.250.100
- Проброшены ТРЕБУЕМЫЕ ПОРТЫ, а не все, на внешний IP (на файерволе)
Задача:
- В выделенном сегменте сети разрешить 192.168.250.100 доступ ТОЛЬКО в Интернет gw 192.168.250.250
Extended IP access list service
permit ip any any 192.168.250.0 0.255.255.255 host 192.168.250.250 0.255.255.255 ace-priority 20
deny ip any any 192.168.250.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 80
interface vlan 250
name service
ip address 192.168.250.250 255.255.255.0
service-acl input service
- Разрешить доступ к выделенному сегменту сети 192.168.250.0/24 или vlan 250 только на адрес 192.168.250.100 из внутренних сетей 192.168.0.0 /16 или vlan'ов. Так чтобы доступ был только по запросу из внутренних сетей.
Как это сделать???
Заранее спасибо.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Помогите с настройка DMZ на основе ACL
Re: Помогите с настройка DMZ на основе ACL
Чтобы разрешить доступ из vlan100 на 192.168.250.250, а всё остальное запретить на vlan100 нужно повесить acl (ALC на VLAN действует только на вход в текущей версии прошивки):
ip access-list extended V100_TO_V250
permit ip any any any 192.168.250.250 0.0.0.0
deny ip any any any 192.168.250.0 0.0.0.255
permit ip any any any any
exit
acl для vlan250 попробовать так:
ip access-list extended PC_to_INET
permit ip any any 192.168.250.100 0.0.0.0 192.168.250.250 0.0.0.0
exit
ip access-list extended V100_TO_V250
permit ip any any any 192.168.250.250 0.0.0.0
deny ip any any any 192.168.250.0 0.0.0.255
permit ip any any any any
exit
acl для vlan250 попробовать так:
ip access-list extended PC_to_INET
permit ip any any 192.168.250.100 0.0.0.0 192.168.250.250 0.0.0.0
exit
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей