О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ACL object-group on ESR как примернить?

MES, ESR
Ответить
pup
Сообщения: 2
Зарегистрирован: 16 мар 2022 15:34
Reputation: 0

ACL object-group on ESR как примернить?

Сообщение pup » 16 мар 2022 15:44

Добрый день.
Подскажите, планиоруется замена cisco на ESR (сейчас тестовый)

Код: Выделить всё

Boot version:
  1.14.0.17 (date 30/08/2021 time 19:09:24)
SW version:
  1.14.0 build 27[4898f3c54] (date 13/10/2021 time 11:01:24)
HW version:
  3v2
VoIP version:

создал object-group (network) для примернения их с extendet ACL
но или нет возможности, или я не так жделаю:

Код: Выделить всё

ip access-list extended LAN
 rule 1
 action permit
 match protocol tcp 
 match source-address 172.16.0.0/16


но вот пытаюсь повесить обект

Код: Выделить всё

(config-acl-rule)# match destination-address EDO
Syntax error: Illegal parameter


Сам объект есть

Код: Выделить всё

sh object-group network EDO
IP Addresses                                                   
------------------------------------------------------------   
1.1.1.1                                                   
8.8.8.8
Вернуться к началу
Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: ACL object-group on ESR как примернить?

Сообщение Garri » 16 мар 2022 20:29

Добрый день!
В ACL нельзя использовать object-group (по крайне мере пока), только в Firewall.

Код: Выделить всё

ip access-list extended ACL_1
  rule 1
    action permit
    match protocol tcp
    match source-address 172.16.0.0 255.255.0.0
    match destination-address 1.1.1.1 255.255.255.255
    enable
  exit
  rule 2
    ...
  exit
exit
Вернуться к началу
pup
Сообщения: 2
Зарегистрирован: 16 мар 2022 15:34
Reputation: 0

Re: ACL object-group on ESR как примернить?

Сообщение pup » 23 мар 2022 18:13

Добрый день. Да, я догадался
У вас не бует примеров настройки security zone.
Везде где наткался только ICMP пример и то не понятный

для примера хочу открыть ssh из сети LAN в VPN (другая сеть с разными прокси и прочими)
создаю зоны
вешаю их на интерфейсы

пишу вот такое правило:

Код: Выделить всё

security zone-pair LAN VPN

rule 1
  action permit
  match protocol tcp
  match destination-port ssh
  description "ssh open for LAN"
  enable
exit

обратное правило
security zone-pair LAN VPN

Код: Выделить всё

security zone-pair VPN LAN
  rule 8
    action permit
    enable
  exit
Вернуться к началу
Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: ACL object-group on ESR как примернить?

Сообщение Garri » 24 мар 2022 01:14

Код: Выделить всё

object-group service SSH
  port-range 22
exit

object-group network netLAN
  ip prefix 10.0.1.0/24
exit

object-group network ipVPN1
  ip address-range 192.168.0.1
exit

security zone-pair LAN VPN
### Доступ из (зоны LAN/сети netLAN) к узлу (ipVPN1 по SSH/зоны VPN)
  rule 10
    action permit
    match protocol tcp
    match source-address netLAN
    match destination-address ipVPN1
    match destination-port SSH
    enable
  exit
exit 


Обратное правило делать не нужно, т к файрвол по умолчанию - sateful.
Вернуться к началу
Ответить

Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и 85 гостей