Cisco 2811 firewall config

19.03.2012, 15:36. **Показов** 3952. **Ответов** 2

Студворк — интернет-сервис помощи студентам

Здравствуйте, помогите пожалуйста с настройкой фаервола на киске, киску настраивал не я, да и я вообще раньше не имел с ними дел, минимальное знание есть, но все же на счет стенки ни как не могу найти норм мануал...
Задача такова, киска настроена как роутер, нужно ограничить доступ к интернету почти всех пользователей в сети, кроме пары определенных айпишников.
Данный конфиг таков:

Не по теме:

!
!
ip cef
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 http
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip dhcp use vrf connected
ip dhcp excluded-address 10.14.20.1
!
ip dhcp pool sdm-pool1
import all
network 10.14.20.0 255.255.255.0
dns-server 193.193.198.36 10.1.10.12
default-router 10.14.20.1
!
!
no ip bootp server
ip domain name --------------
ip name-server 193.193.198.36
ip name-server 10.1.10.12
ip name-server 10.1.10.3
ip name-server 8.8.8.8
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ES_LAN$$FW_INSIDE$
ip address 10.14.20.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
duplex auto
speed auto
no mop enabled
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
interface FastEthernet0/1
description $ES_WAN$$FW_OUTSIDE$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no mop enabled
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.14.20.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 remark Auto generated by SDM for EzVPN (udp-10000) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.35 any eq 10000
access-list 101 remark Auto generated by SDM for EzVPN (non500-isakmp) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.35 any eq non500-isakmp
access-list 101 remark Auto generated by SDM for EzVPN (isakmp) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.35 any eq isakmp
access-list 101 remark Auto generated by SDM for EzVPN (ahp) SDM_EZVPN_CLIENT_1
access-list 101 permit esp host 193.193.198.35 any
access-list 101 remark Auto generated by SDM for EzVPN (esp) SDM_EZVPN_CLIENT_1
access-list 101 permit ahp host 193.193.198.35 any
access-list 101 remark Auto generated by SDM for EzVPN (udp-10000) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.34 any eq 10000
access-list 101 remark Auto generated by SDM for EzVPN (non500-isakmp) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.34 any eq non500-isakmp
access-list 101 remark Auto generated by SDM for EzVPN (isakmp) SDM_EZVPN_CLIENT_1
access-list 101 permit udp host 193.193.198.34 any eq isakmp
access-list 101 remark Auto generated by SDM for EzVPN (ahp) SDM_EZVPN_CLIENT_1
access-list 101 permit esp host 193.193.198.34 any
access-list 101 remark Auto generated by SDM for EzVPN (esp) SDM_EZVPN_CLIENT_1
access-list 101 permit ahp host 193.193.198.34 any
access-list 101 permit udp host 10.1.10.12 eq domain any
access-list 101 permit udp host 193.193.198.36 eq domain any
access-list 101 deny ip 10.14.20.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
dialer-list 1 protocol ip permit
snmp-server community System2009 RO
no cdp run

И есть ли тут какие то ненужные настройки? Подскажите как все это дело организовать.

@Scorpa · 28.03.2012, 19:39

ненужные настройки прикольно ... У тебя конетятся через впн и им открывается доступ так ? это тебе надоу брать ? включен же sdm через него настрой все что нужно, либо в 100 access-list те укажи кого пускать. то есть
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip { этого этого и этого}
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 10.14.20.0 0.0.0.255 any
access-list 100 permit ip any any

@slavyan · 29.03.2012, 03:55

Scorpa, подскажите пожалуйста:
access-list 100 deny ip host 255.255.255.255 any -это что, broadcast пакеты?

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

lerev

	Cisco 2811 firewall config 19.03.2012, 15:36. Показов 3952. Ответов 2 Метки нет (Все метки) Здравствуйте, помогите пожалуйста с настройкой фаервола на киске, киску настраивал не я, да и я вообще раньше не имел с ними дел, минимальное знание есть, но все же на счет стенки ни как не могу найти норм мануал... Задача такова, киска настроена как роутер, нужно ограничить доступ к интернету почти всех пользователей в сети, кроме пары определенных айпишников. Данный конфиг таков: Не по теме: ! ! ip cef ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 esmtp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 vdolive ip inspect name DEFAULT100 http ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 no ip dhcp use vrf connected ip dhcp excluded-address 10.14.20.1 ! ip dhcp pool sdm-pool1 import all network 10.14.20.0 255.255.255.0 dns-server 193.193.198.36 10.1.10.12 default-router 10.14.20.1 ! ! no ip bootp server ip domain name -------------- ip name-server 193.193.198.36 ip name-server 10.1.10.12 ip name-server 10.1.10.3 ip name-server 8.8.8.8 ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$$ES_LAN$$FW_INSIDE$ ip address 10.14.20.1 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1412 duplex auto speed auto no mop enabled crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside ! interface FastEthernet0/1 description $ES_WAN$$FW_OUTSIDE$ no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no mop enabled ! interface Dialer0 description $FW_OUTSIDE$ ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1452 ip inspect DEFAULT100 out ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 1 interface Dialer0 overload ! logging trap debugging access-list 1 remark INSIDE_IF=FastEthernet0/0 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.14.20.0 0.0.0.255 access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 remark auto generated by Cisco SDM Express firewall configuration access-list 101 remark SDM_ACL Category=1 access-list 101 remark Auto generated by SDM for EzVPN (udp-10000) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.35 any eq 10000 access-list 101 remark Auto generated by SDM for EzVPN (non500-isakmp) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.35 any eq non500-isakmp access-list 101 remark Auto generated by SDM for EzVPN (isakmp) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.35 any eq isakmp access-list 101 remark Auto generated by SDM for EzVPN (ahp) SDM_EZVPN_CLIENT_1 access-list 101 permit esp host 193.193.198.35 any access-list 101 remark Auto generated by SDM for EzVPN (esp) SDM_EZVPN_CLIENT_1 access-list 101 permit ahp host 193.193.198.35 any access-list 101 remark Auto generated by SDM for EzVPN (udp-10000) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.34 any eq 10000 access-list 101 remark Auto generated by SDM for EzVPN (non500-isakmp) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.34 any eq non500-isakmp access-list 101 remark Auto generated by SDM for EzVPN (isakmp) SDM_EZVPN_CLIENT_1 access-list 101 permit udp host 193.193.198.34 any eq isakmp access-list 101 remark Auto generated by SDM for EzVPN (ahp) SDM_EZVPN_CLIENT_1 access-list 101 permit esp host 193.193.198.34 any access-list 101 remark Auto generated by SDM for EzVPN (esp) SDM_EZVPN_CLIENT_1 access-list 101 permit ahp host 193.193.198.34 any access-list 101 permit udp host 10.1.10.12 eq domain any access-list 101 permit udp host 193.193.198.36 eq domain any access-list 101 deny ip 10.14.20.0 0.0.0.255 any access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any dialer-list 1 protocol ip permit snmp-server community System2009 RO no cdp run И есть ли тут какие то ненужные настройки? Подскажите как все это дело организовать.

@Scorpa 7 / 7 / 0 Регистрация: 28.03.2012 Сообщений: 26
	28.03.2012, 19:39
	ненужные настройки прикольно ... У тебя конетятся через впн и им открывается доступ так ? это тебе надоу брать ? включен же sdm через него настрой все что нужно, либо в 100 access-list те укажи кого пускать. то есть access-list 100 remark auto generated by Cisco SDM Express firewall configuration access-list 100 remark SDM_ACL Category=1 access-list 100 permit ip { этого этого и этого} access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip 10.14.20.0 0.0.0.255 any access-list 100 permit ip any any 1

@slavyan 6 / 6 / 0 Регистрация: 11.02.2012 Сообщений: 23
	29.03.2012, 03:55
	Scorpa, подскажите пожалуйста: access-list 100 deny ip host 255.255.255.255 any -это что, broadcast пакеты? 0