Май 8 2011

DMZ на CISCO ACL

ACL (англ. Access Control List — список контроля доступа, по-английски произносится «эй-си-эл») — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Все действия проводились на cisco catalyst 3560.

Часть первая. Входящий трафик.

В этом примере у меня есть частная сеть 192.168.32.x и сеть DMZ 192.168.30.x.

Заблокируем весь для группы 100.

access-list 100 deny ip 192.168.30.0 0.0.0.255 any
access-list 100 deny ip 192.168.32.0 0.0.0.255 any
access-list 100 permit ip any any

Применим группу 100 для serial0/0.

interface serial0/0
ip access-group 100 in

Разрешим трафик с DMZ сети на DMZ интерфейс.

access-list 101 permit ip 192.168.30.0 0.0.0.255 any
interface ethernet0/0
ip access-group 101 in

Разрешим трафик с приватной сети на приватный интерфейс.

access-list 102 permit ip 192.168.32.0 0.0.0.255 any
interface ethernet0/1
ip access-group 102 in

Первая часть установки сделана. Мы разрешил трафик в нашей сети на интерфейсы cisco, но мы еще не сказали, что трафик может покидать их. Теперь нужно разрешить определнный вохдящий трафик в DMZ с приватных сетей.

Часть вторая. Исходящий трафик.

Разрешим выход в интернет из сети DMZ, например, для доступа к внешним серверам DNS.
Правило для TCP-handshake:
access-list 103 permit tcp any host 192.168.30.0 0.0.0.255 established

Правила для DNS и ICMP.

access-list 103 permit udp host 192.168.30.3 eq domain any eq domain
access-list 103 permit udp host 192.168.30.3 gt 1023 any eq domain
access-list 103 permit udp host 192.168.30.3 eq domain any gt 1023
access-list 103 permit tcp host 192.168.30.3 any eq domain
access-list 103 permit icmp 192.168.30.0 0.0.0.255 any echo-reply
access-list 103 permit tcp host 192.168.30.1 any
access-list 103 permit tcp host 192.168.30.4 any eq smtp

Теперь разрешим доступ из локальной сети в DMZ.

Правило для TCP-handshake.

access-list 104 permit tcp any host 192.168.30.0 0.0.0.255 established

Правила для DNS,FTP,HTTP,ICMP,TELNET,SMTP.

access-list 104 permit udp any eq domain host 192.168.30.3 eq domain
access-list 104 permit udp any eq domain host 192.168.30.3 gt 1023
access-list 104 permit udp any gt 1023 host 192.168.30.3 eq domain
access-list 104 permit icmp any 192.168.30.0 0.0.0.255 echo
access-list 104 permit tcp any host 192.168.30.2 eq www
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 range ftp-data ftp
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 eq telnet
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 eq 8080
access-list 104 permit tcp any eq ftp-data host 192.168.30.1 gt 1023
access-list 104 permit tcp any host 192.168.30.4 eq smtp
access-list 104 permit tcp host 172.16.1.2 host 192.168.30.3 eq domain
access-list 104 permit tcp host 172.16.1.4 host 192.168.30.3 eq domain

Наконец мы разрешим трафик из DMZ сети для установки соединения (TCP-handshake,FTP-active mode,ICMP echo ответ) из LAN в DMZ.

access-list 105 permit tcp 192.168.30.0 0.0.0.255 192.168.32.0 0.0.0.255 established
access-list 105 permit icmp 192.168.30.0 0.0.0.255 192.168.32.0 0.0.0.255 echo-reply
access-list 105 permit tcp host 192.168.30.1 eq ftp-data 192.168.32.0 0.0.0.255 gt 1023
access-list 105 permit tcp host 192.168.30.4 192.168.32.0 0.0.0.255 eq smtp

Применим группы.

interface serial0/0
ip access-group 100 in
ip access-group 103 out

interface ethernet0/0
ip access-group 101 in
ip access-group 104 out

interface ethernet0/1
ip access-group 102 in
ip access-group 105 out
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong

By admin • CISCO • Tags: , , ,