Hirdetés

Új hozzászólás Aktív témák

  • zsolti.22

    senior tag

    válasz crok #8829 üzenetére

    Az OUTSIDE_TO_SELF-es témánál összekevertem az irányokat, természetesen SELF_TO_OUTSIDE akart volna lenni, amikor óraszinkron, ddns, stb-ről írtam :D

    Na, most másfél óra alatt megálmodtam az új szabálylistákat, és ahogy nézegettem, így egyelőre teljesen egyértelmű és agyban lefuttatva pont működik minden, amit szeretnék, aztán majd holnap rárakom a routerre és lehet, hogy lesz pofára esés. Az új szabályoknál sehol sem használok pass-t, csak inspectet, mert lusta vagyok megírni az oda-vissza szabályokat.

    Íme (lehet értékelni):

    class-map type inspect match-any INSIDE_TO_OUTSIDE_CLASS_INSPECT
    //belső hálózat protokolljai
    match protocol bootps
    match protocol bootpc
    match protocol pop3s
    match protocol dns
    match protocol icmp
    match protocol ntp
    match protocol tcp
    match protocol udp

    class-map type inspect match-any INSIDE_TO_VOIP_CLASS_INSPECT
    //itt a belső hálóról a telefont csak HTTP-n akarom elérni, máshogy nem
    match protocol http

    class-map type inspect match-any VOIP_TO_OUTSIDE_CLASS_INSPECT
    //a voipnak ezekre a protokollokra van szüksége
    match protocol ntp
    match protocol dns
    //ebben az ACL-ben a SIP, STUN, RTP dolgok vannak definiálva (jó pár perc wireshark csomag-lesegetés után)
    match access-group name VOIP_TO_OUTSIDE_INSPECT_ACL
    //ez az utóbbi talán nem is kell, hiszen a fentiekkel kb kimerítettem a lehetőségeket, amikre szükség van
    match protocol udp

    class-map type inspect match-any SELF_TO_OUTSIDE_CLASS_INSPECT
    //a router tudjon IP-t kapni, állogassa az órát, kérdezgessen dns-t
    match protocol bootps
    match protocol bootpc
    match protocol ntp
    match protocol dns
    //frissítse a DDNS-t az ACL alapján
    match access-group name SELF_TO_OUTSIDE_DDNS_ACL

    class-map type inspect match-any OUTSIDE_TO_SELF_CLASS_INSPECT
    //itt vannak az SSH-hoz, bejövő hívás kezdeményezéséhez és a router pingetéséhez szükséges ACE-k
    match access-group name OUTSIDE_TO_SELF_INSPECT_ACL

    policy-map type inspect INSIDE_TO_OUTSIDE
    class INSIDE_TO_OUTSIDE_CLASS_INSPECT
    inspect

    policy-map type inspect INSIDE_TO_VOIP
    class INSIDE_TO_VOIP_CLASS_INSPECT
    inspect

    policy-map type inspect VOIP_TO_OUTSIDE
    class VOIP_TO_OUTSIDE_CLASS_INSPECT
    inspect

    policy-map type inspect SELF_TO_OUTSIDE
    class SELF_TO_OUTSIDE_CLASS_INSPECT
    inspect

    policy-map type inspect OUTSIDE_TO_SELF
    class OUTSIDE_TO_SELF_CLASS_INSPECT
    inspect

    Hát röviden ennyi, elvileg minden oké lesz. A zónapárok a policy-mapokból látszanak is.
    Na és akkor ha most VPN-t akarnék konfigurálni, akkor a fenti zónák elegek, igaz? És ha igen, akkor az OUTSIDE_TO_SELF_INSPECT_ACL-be kellene a két site pub IP-je UDP 500 forrás-céllal, meg ESP-vel, 'oszt jónapot'? Mert szerintem igen!

Új hozzászólás Aktív témák