Я изо всех сил пытаюсь разобраться с ACL на маршрутизаторе cisco серии 2800.
Вкратце Моя топология: R1> Sw1> [Сервер 1, сервер 2, компьютер 1]
R1 создает соединение PPPoE, которое я использую прямо сейчас.
Чтобы перейти к этому этапу, у меня есть следующая конфигурация маршрутизатора. Я вырезал части, которые здесь не требуются, чтобы уменьшить длину фрагмента кода.
interface FastEthernet0/0
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 10
!
interface FastEthernet0/1
ip address 10.0.2.1 255.255.255.0
ip access-group all-out out
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Serial0/3/0
no ip address
shutdown
clock rate 2000000
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 10
ppp authentication chap callin
ppp chap hostname *****
ppp chap password 0 *****
ppp ipcp dns request
ppp ipcp route default
ppp ipcp address accept
!
router rip
network 10.0.0.0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source list 10 interface Dialer1 overload
ip nat inside source static tcp 10.0.2.50 443 interface Dialer1 443
ip nat inside source static tcp 10.0.2.50 80 interface Dialer1 80
ip nat inside source static tcp 10.0.2.52 3306 interface Dialer1 3306
ip nat inside source static tcp 10.0.2.41 33060 interface Dialer1 33060
ip nat inside source static tcp 10.0.2.41 8080 interface Dialer1 8080
ip nat inside source static tcp 10.0.2.53 25 interface Dialer1 25
ip nat inside source static tcp 10.0.2.53 587 interface Dialer1 587
ip nat inside source static tcp 10.0.2.53 993 interface Dialer1 993
!
access-list 10 permit 10.0.2.0 0.0.0.255
!
Я не хочу разрешать весь входящий и исходящий трафик. Позже я настрою виртуальные локальные сети и расширю свою домашнюю сеть, включив в нее хосты, которые не будут иметь входящих требований.
Я использую виртуальные машины, поэтому IP-адресов больше, чем серверов, у меня есть один общедоступный адрес и несколько хостов за этим маршрутизатором.
Я считаю, что nat настроен правильно, но я не могу быть уверен, что я могу добраться до хостов локально.
ACL, однако, попробовал несколько вещей, и я либо заблокировал соединение, либо не получил видимого результата.
Итак, не могли бы вы помочь мне с ACL для поддержки исходящего трафика, разрешить только определенный входящий трафик и заблокировать все остальное входящее.
В маршрутизаторах Cisco IOS ACL - это метод фильтрации пакетов без сохранения состояния, что означает, что вам необходимо разрешить трафик в обоих направлениях, входящем и исходящем.
Чтобы поддерживать исходящий трафик и разрешать только определенный входящий трафик, вам понадобится функция фильтрации пакетов с отслеживанием состояния, такая как «Простой брандмауэр».
Например:
conf t
!
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall icmp
!
interface FastEthernet0/1
ip inspect firewall in
no ip access-group all-out out
!
ip access-list extended ALLOW-FROM-INTERNET
permit tcp any any eq 443
permit tcp any any eq 80
permit tcp any any eq 3306
. . .
!
interface Dialer1
ip access-group ALLOW-FROM-INTERNET in
!
Таким образом, трафик, сгенерированный в вашей локальной сети (Fa0 / 1), может выходить в Интернет, а «Простой брандмауэр» будет вести учет для разрешения обратного трафика.
Трафик, генерируемый со стороны WAN (Dialer1), может попасть на ваш общедоступный IP-адрес (Dialer1 IP) только в том случае, если это разрешено ACL «ALLOW-FROM-INTERNET».
Взгляни на Настройка простого брандмауэра
PS: Убедитесь, что вы не потеряете доступ к управлению своим маршрутизатором. Убедитесь, что вы сначала попробуете что-то, управляя им через консольный доступ.