Цитата TwoThrones:
|
фильтры пока не настраивал »
|
Если выпустить в интернет всех без ограничения и на вход извне открыть только ESTABLISHED и RELATED:
Код:
R1(config)#ip access-list ext INTERNET_IN
R1(config-ext-nacl)#deny ip any any log
R1(config-ext-nacl)#exit
R1(config)#ip inspect name EST_REL ftp
R1(config)#ip inspect name EST_REL tcp router-traffic
R1(config)#ip inspect name EST_REL udp router-traffic
R1(config)#ip inspect name EST_REL icmp router-traffic
R1(config)#ip inspect audit-trail
R1(config)#int fa4
R1(config-if)#ip access-group INTERNET_IN in #закрываешь весь трафик извне
R1(config-if)#ip inspect EST_REL out #открываешь пакеты со state ESTABLISHED и RELATED
"log" в "deny ip any any log" и audit-trail - опционально. router-traffic включает инспекцию трафика и учет сессий не только проходяшего трафика, но и трафика, сгенерированного маршрутизатором.
Если потребуется добавить другой протокол - просто добавите в ту же политику (EST_REL).
Если ip inspect в вашей модели/версии ios не поддерживается, то для организации stateful fw можно посмотреть в сторону reflexive acl, хотя этот механизм громоздкий и неудобный. Однако, в 800 серии, вроде, CBAC (ip inspect) есть.
