|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки ip access-list extended FROM-OUTSIDE - создали расширенный access-list с именем FROM-OUTSIDE permit icmp any host 210.210.3.2 - разрешили в нем icmp на хост 210.210.3.2 permit tcp any host 210.210.3.2 eq www - разрешили www (80 порт) на хост 210.210.3.2 deny ip any any - запретили весь остальной трафик exit - вышли из создания access-list FROM-OUTSIDE interface fa 0/0 - выбрали интерфейс fa 0/0 (смотрит в интернет) ip access-group FROM-OUTSIDE in - привязали FROM-OUTSIDE к интерфейсу на входящий трафик exit - вышли из interface fa 0/0 ip inspect name INSIDE-OUTSIDE http ip inspect name INSIDE-OUTSIDE icmp ip inspect name INSIDE-OUTSIDE tcp interface fastEthernet 1/0 выбрали интерфейс fa 1/0 (смотрит в локальную сеть) ip inspect INSIDE-OUTSIDE in - привязали INSIDE-OUTSIDE к интерфейсу на входящий трафик Это правило будет работать следующим образом: Все что выходит из локалки комутатор запоминает временно. И после когда придет ответ он пропустит и отдаст тому кто просил. exit - вышли из fastEthernet 1/0 ip access-list extended FROM-DMZ - создадим access-list для DMZ deny ip host 210.210.3.2 192.168.1.0 0.0.0.255 - запретим серверу ходить к нам в локалку permit ip any any - все остальное разрешаем interface fastEthernet 0/1 - настраиваем интерфейс fastEthernet 0/1 ip access-group FROM-DMZ in - добовляем интерфейсу access-list FROM-DMZ для входящего трафика exit - вышли из interface fa 0/1 |