[решено] firewall между vlan <Cisco ACL>

Aleksey Potapov · Отправлено: **17:05, 28-11-2008** | #52

Вот какой конфиг после того как я залил с правилами.
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-group vlan101 in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-group vlan102 in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server

!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!

Итог - не могу выйти в интернет из Vlan 101 ТОЧНО.Остальные не проверял - времени не хватило....
На рабочих машинах шлюзом у меня указана циска.
Куда рыть?
подскажите пожалуйста.

PS создал конфиг с одним аутом - отлично работает.
Вот он
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq 80 172.10.254.0 0.0.0.255
permit tcp any eq 443 172.10.254.0 0.0.0.255
permit tcp any eq 25 172.10.254.0 0.0.0.255
permit tcp any eq 110 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
deny ip any any
!

Вопрос по этому конфигу - можно ли как-то в нём сразу ограничить доступ в интрнет ?(Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п.))

Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так?