Configuration reflexive:
1)
R1(config)# ip access-list extended inout_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect webreflexACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dnsreflexACL timeout 10
2)
R1(config)# ip access-list extended outin_ACL
R1(config-ext-nacl)# evaluate webreflexACL
R1(config-ext-nacl)# evaluate dnsreflexACL
R1(config-ext-nacl)# deny ip any any
3)
R1(config)# interface fa0/0
R1(config-if)# ip access-group inout_ACL out
R1(config-if)# ip access-group outin_ACL in
В чём соль:
1) разрешаем доступ по 80(http) и 53(dns) портам доступ изнутри наружу и присваиваем имена для пункта 2
2) подсказываем, что нужно пропускать внутрь соединения, иницированных нашими acl's
3) накладываем правила на интерфейс
1)
R1(config)# ip access-list extended inout_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect webreflexACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dnsreflexACL timeout 10
2)
R1(config)# ip access-list extended outin_ACL
R1(config-ext-nacl)# evaluate webreflexACL
R1(config-ext-nacl)# evaluate dnsreflexACL
R1(config-ext-nacl)# deny ip any any
3)
R1(config)# interface fa0/0
R1(config-if)# ip access-group inout_ACL out
R1(config-if)# ip access-group outin_ACL in
В чём соль:
1) разрешаем доступ по 80(http) и 53(dns) портам доступ изнутри наружу и присваиваем имена для пункта 2
2) подсказываем, что нужно пропускать внутрь соединения, иницированных нашими acl's
3) накладываем правила на интерфейс
Комментариев нет:
Отправить комментарий