Рубрики
Cisco

cisco DMZ

enable - входим в привилегированный режим 
configure terminal  - входим в режим глобальной настройки

ip access-list extended  FROM-OUTSIDE - создали расширенный access-list с именем FROM-OUTSIDE
permit icmp any host 210.210.3.2 - разрешили в нем icmp на хост 210.210.3.2
permit tcp any host 210.210.3.2 eq www - разрешили www (80 порт) на хост 210.210.3.2
deny ip any any - запретили весь остальной трафик
exit - вышли из создания access-list FROM-OUTSIDE 

interface fa 0/0 - выбрали интерфейс fa 0/0 (смотрит в интернет)
ip access-group FROM-OUTSIDE in - привязали FROM-OUTSIDE к интерфейсу на входящий трафик
exit - вышли из interface fa 0/0

ip inspect name INSIDE-OUTSIDE http
ip inspect name INSIDE-OUTSIDE icmp
ip inspect name INSIDE-OUTSIDE tcp

interface fastEthernet 1/0  выбрали интерфейс fa 1/0 (смотрит в локальную сеть)
ip inspect INSIDE-OUTSIDE in - привязали INSIDE-OUTSIDE к интерфейсу на входящий трафик
                               Это правило будет работать следующим образом:
                               Все что выходит из локалки комутатор запоминает временно. 
                               И после когда придет ответ он пропустит и отдаст тому кто просил. 
exit - вышли из fastEthernet 1/0 

ip access-list extended FROM-DMZ - создадим access-list для DMZ
deny ip host 210.210.3.2 192.168.1.0 0.0.0.255 - запретим серверу ходить к нам в локалку
permit ip any any - все остальное разрешаем 
interface fastEthernet 0/1 - настраиваем интерфейс fastEthernet 0/1
ip access-group FROM-DMZ in - добовляем интерфейсу access-list FROM-DMZ для входящего трафика
exit - вышли из interface fa 0/1