enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки
ip access-list extended FROM-OUTSIDE - создали расширенный access-list с именем FROM-OUTSIDE
permit icmp any host 210.210.3.2 - разрешили в нем icmp на хост 210.210.3.2
permit tcp any host 210.210.3.2 eq www - разрешили www (80 порт) на хост 210.210.3.2
deny ip any any - запретили весь остальной трафик
exit - вышли из создания access-list FROM-OUTSIDE
interface fa 0/0 - выбрали интерфейс fa 0/0 (смотрит в интернет)
ip access-group FROM-OUTSIDE in - привязали FROM-OUTSIDE к интерфейсу на входящий трафик
exit - вышли из interface fa 0/0
ip inspect name INSIDE-OUTSIDE http
ip inspect name INSIDE-OUTSIDE icmp
ip inspect name INSIDE-OUTSIDE tcp
interface fastEthernet 1/0 выбрали интерфейс fa 1/0 (смотрит в локальную сеть)
ip inspect INSIDE-OUTSIDE in - привязали INSIDE-OUTSIDE к интерфейсу на входящий трафик
Это правило будет работать следующим образом:
Все что выходит из локалки комутатор запоминает временно.
И после когда придет ответ он пропустит и отдаст тому кто просил.
exit - вышли из fastEthernet 1/0
ip access-list extended FROM-DMZ - создадим access-list для DMZ
deny ip host 210.210.3.2 192.168.1.0 0.0.0.255 - запретим серверу ходить к нам в локалку
permit ip any any - все остальное разрешаем
interface fastEthernet 0/1 - настраиваем интерфейс fastEthernet 0/1
ip access-group FROM-DMZ in - добовляем интерфейсу access-list FROM-DMZ для входящего трафика
exit - вышли из interface fa 0/1
Рубрики