В конструкциях типа security zone-pair zone1 any, вот этот оператор any, очень мало информации по нему.
Какой у него приоритет на другими парами зон, очередность обработки пар зон, когда его использовать или лучше вобще не использовать?
Если конкретнее вот два примера
1.
security zone-pair zone1 zone2
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit
2.
security zone-pair zone1 any
rule 10
action permit log
match protocol any
match source-address any
match destination-address any
enable
exit
В первом случае из zone1 в zone2 доступ есть , во втором с any нет.
Хотелось бы более менее развернутый ответ.Спасибо.
esr1000 1.4.4 build 6[4bd3714d6f] date 15/01/2019
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
security zone-pair any
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: security zone-pair any
Добрый день!
Пара зон <zone_name> any необходима для организации фильтрации фрагментированных пакетов и фильтрации по наличию ip-options из указанной зоны безопасности <zone_name>.
Пару зон <zone_name> any необходимо исопльзовать как дополнение к основным парам зон security zone-pair <zone_name1> <zone_name2>.
Пример конфигурации фильтрации фрагментированных пакетов и пакетов с ip-option из зоны WAN:
Пара зон <zone_name> any необходима для организации фильтрации фрагментированных пакетов и фильтрации по наличию ip-options из указанной зоны безопасности <zone_name>.
Пару зон <zone_name> any необходимо исопльзовать как дополнение к основным парам зон security zone-pair <zone_name1> <zone_name2>.
Пример конфигурации фильтрации фрагментированных пакетов и пакетов с ip-option из зоны WAN:
Код: Выделить всё
security zone LAN
exit
security zone WAN
exit
interface gigabitethernet 1/0/1
security-zone WAN
ip address 192.0.2.1/24
exit
interface gigabitethernet 1/0/2
security-zone LAN
ip address 192.168.0.10/24
exit
security zone-pair WAN LAN
rule 10
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
security zone-pair WAN any
rule 10
action deny
match fragment
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 20
action deny
match protocol icmp
match source-address any
match destination-address any
match ip-option
enable
exit
exit
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Re: security zone-pair any
Спасибо, Леонид.
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 49 гостей