Привет всем.


Трабл таков - на том самом роутере 1811, где создавали правила ACL мне кажется что правила не срабатывают
так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п.
тема в которой рассматривались ACL
http://forum.oszone.net/thread-124095.html

нынешний конф для ACL
interface Vlan103
description Vlan3-MSOF all
ip address 172.10.3.3 255.255.255.0
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq www 172.10.3.0 0.0.0.255
permit tcp any eq 443 172.10.3.0 0.0.0.255
permit tcp any eq smtp 172.10.3.0 0.0.0.255
permit tcp any eq pop3 172.10.3.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.3.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.3.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.3.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.3.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.3.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.3.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.3.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.3.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.3.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.3.0 0.0.0.255
deny ip any any
!

так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »

1) Как именно показывает, логи покажите?
2) В настоящее время ICQ-сервера принимают подключения по следующим портам:
- icq 5190
- http 80
- https 443

и естественно, Cisco не сможет как фаервол 4-го уровня отловить последние две комбинации

дык, в том то и дело) что идут по протоколу 5190 и другим.
пример ниже.

http://s42.radikal.ru/i095/0812/7c/ef64fbf5ac3b.jpg

1) Адрес ISA Какой

2)
так как ISA мне показывает, что на неё ломятся из vlan 103 по протоколу ICQ и.т.п. »
Павильно показывает.
Правилом OUT вы ограничили ответы, а не запросы.
Запросы Cisco ни как не ограничивает.

1. 172.10.1.7



2- понятно - тоесть просто на этот интерфейс если что-то и запросят по протоколу 5190 то просто не получат?правильно?

5190 то просто не получат?правильно? »
Да

Кстати ,можно использовать ISA как средство обучения.

- сформировать входное правило на интерфейсе VLAN103

типа

ip access-list extended vlan103_in
deny tcp any any eq 5190
deny udp any any eq 5190
permit any
deny any

и будете строчки вверху добавлять на каждый писк ISA

а может проще
ip access-list extended vlan103 in
permit tcp 172.10.3.0 0.0.0.255 eq www any
permit и.т.п
deny ip any any

Мой вариант выгоден когда весь трафик неизвестен и блокируется постенно (обучение, строчку написал - проверил работоспособность)

Ваш вариант - чистовой , т. е. когда точно известны все типы разрешенного трафика и нужно "загасить" остальной.

ну вот мой вариант мне и нужен....