- Tokba kerülnek a Pixel 10 mágnesei
- Honor 200 Pro - mobilportré
- Ford SYNC 3 infotainment rendszer teszt
- Google Pixel topik
- Samsung Galaxy A53 5G - kevesebbet többért
- Második bétánál jár a One UI 8
- Samsung Galaxy Watch5 Pro - kerek, de nem tekerek
- Milyen okostelefont vegyek?
- Okosóra és okoskiegészítő topik
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
zsolti.22
senior tag
Az OUTSIDE_TO_SELF-es témánál összekevertem az irányokat, természetesen SELF_TO_OUTSIDE akart volna lenni, amikor óraszinkron, ddns, stb-ről írtam
Na, most másfél óra alatt megálmodtam az új szabálylistákat, és ahogy nézegettem, így egyelőre teljesen egyértelmű és agyban lefuttatva pont működik minden, amit szeretnék, aztán majd holnap rárakom a routerre és lehet, hogy lesz pofára esés. Az új szabályoknál sehol sem használok pass-t, csak inspectet, mert lusta vagyok megírni az oda-vissza szabályokat.
Íme (lehet értékelni):
class-map type inspect match-any INSIDE_TO_OUTSIDE_CLASS_INSPECT
//belső hálózat protokolljai
match protocol bootps
match protocol bootpc
match protocol pop3s
match protocol dns
match protocol icmp
match protocol ntp
match protocol tcp
match protocol udpclass-map type inspect match-any INSIDE_TO_VOIP_CLASS_INSPECT
//itt a belső hálóról a telefont csak HTTP-n akarom elérni, máshogy nem
match protocol httpclass-map type inspect match-any VOIP_TO_OUTSIDE_CLASS_INSPECT
//a voipnak ezekre a protokollokra van szüksége
match protocol ntp
match protocol dns
//ebben az ACL-ben a SIP, STUN, RTP dolgok vannak definiálva (jó pár perc wireshark csomag-lesegetés után)
match access-group name VOIP_TO_OUTSIDE_INSPECT_ACL
//ez az utóbbi talán nem is kell, hiszen a fentiekkel kb kimerítettem a lehetőségeket, amikre szükség van
match protocol udpclass-map type inspect match-any SELF_TO_OUTSIDE_CLASS_INSPECT
//a router tudjon IP-t kapni, állogassa az órát, kérdezgessen dns-t
match protocol bootps
match protocol bootpc
match protocol ntp
match protocol dns
//frissítse a DDNS-t az ACL alapján
match access-group name SELF_TO_OUTSIDE_DDNS_ACLclass-map type inspect match-any OUTSIDE_TO_SELF_CLASS_INSPECT
//itt vannak az SSH-hoz, bejövő hívás kezdeményezéséhez és a router pingetéséhez szükséges ACE-k
match access-group name OUTSIDE_TO_SELF_INSPECT_ACLpolicy-map type inspect INSIDE_TO_OUTSIDE
class INSIDE_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect INSIDE_TO_VOIP
class INSIDE_TO_VOIP_CLASS_INSPECT
inspectpolicy-map type inspect VOIP_TO_OUTSIDE
class VOIP_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect SELF_TO_OUTSIDE
class SELF_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect OUTSIDE_TO_SELF
class OUTSIDE_TO_SELF_CLASS_INSPECT
inspectHát röviden ennyi, elvileg minden oké lesz. A zónapárok a policy-mapokból látszanak is.
Na és akkor ha most VPN-t akarnék konfigurálni, akkor a fenti zónák elegek, igaz? És ha igen, akkor az OUTSIDE_TO_SELF_INSPECT_ACL-be kellene a két site pub IP-je UDP 500 forrás-céllal, meg ESP-vel, 'oszt jónapot'? Mert szerintem igen!
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- BESZÁMÍTÁS! 1TB Kingston KC3000 NVMe SSD meghajtó garanciával hibátlan működéssel
- PROCASTER 40UNB700 40" 101cm televízió + Számla + Garancia
- BESZÁMÍTÁS! Intel Core i9 9900KF 8 mag 16 szál processzor garanciával hibátlan működéssel
- DELL PowerEdge R730xd 16LFF+2SFF rack szerver - 2xE5-2680v3,64GB RAM,4x1GbE,H730 RAID v ZFS
- MacBook, Apple M1 / M2 kompatibilis dokkolók, DisplayLink 4K, USB-C, Type-C
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged