Помогите с настройка DMZ на основе ACL
Добавлено: 01 дек 2021 19:09
Коллеги, добрый день!
Для создания DMZ и размещения в паблике тестового сервера
- Создан сегмент сети, например 192.168.250.0/24 и выведен в отдельный Vlan_250
- Сервис в этом сегменте размещен на адресе 192.168.250.100
- Проброшены ТРЕБУЕМЫЕ ПОРТЫ, а не все, на внешний IP (на файерволе)
Задача:
- В выделенном сегменте сети разрешить 192.168.250.100 доступ ТОЛЬКО в Интернет gw 192.168.250.250
Extended IP access list service
permit ip any any 192.168.250.0 0.255.255.255 host 192.168.250.250 0.255.255.255 ace-priority 20
deny ip any any 192.168.250.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 80
interface vlan 250
name service
ip address 192.168.250.250 255.255.255.0
service-acl input service
- Разрешить доступ к выделенному сегменту сети 192.168.250.0/24 или vlan 250 только на адрес 192.168.250.100 из внутренних сетей 192.168.0.0 /16 или vlan'ов. Так чтобы доступ был только по запросу из внутренних сетей.
Как это сделать???
Заранее спасибо.
Для создания DMZ и размещения в паблике тестового сервера
- Создан сегмент сети, например 192.168.250.0/24 и выведен в отдельный Vlan_250
- Сервис в этом сегменте размещен на адресе 192.168.250.100
- Проброшены ТРЕБУЕМЫЕ ПОРТЫ, а не все, на внешний IP (на файерволе)
Задача:
- В выделенном сегменте сети разрешить 192.168.250.100 доступ ТОЛЬКО в Интернет gw 192.168.250.250
Extended IP access list service
permit ip any any 192.168.250.0 0.255.255.255 host 192.168.250.250 0.255.255.255 ace-priority 20
deny ip any any 192.168.250.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 80
interface vlan 250
name service
ip address 192.168.250.250 255.255.255.0
service-acl input service
- Разрешить доступ к выделенному сегменту сети 192.168.250.0/24 или vlan 250 только на адрес 192.168.250.100 из внутренних сетей 192.168.0.0 /16 или vlan'ов. Так чтобы доступ был только по запросу из внутренних сетей.
Как это сделать???
Заранее спасибо.