[kim-aa]

1)

Цитата aptv:

Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так access-list 23 permit 172.10.1.21 0.0.0.7 ? »

Чтобы не путаться с масками определенные IP адресы проще указывать через host

access-list 23 permit host 172.10.1.21

2) Так же можно (и обычно это более стандартный путь) наложить acl на виртуальный терминал
При этом используются три группы записей

;пользователя и привелегии
username root privilege 15 secret 5 $1$H0nM$06ytTz2z0nThOBj7OweIA.

; Сам АКЛ
access-list 23 remark SDM_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 172.23.0.0 0.0.255.255

;привязка терминала к списку доступа и уровня привелегии
line vty 5 15
access-class 23 in
transport input telnet ssh

3) Для http доступа применяется конструкция
ip http server
ip http access-class 23

Цитата aptv:

ip access-list FE0_in permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255 permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255 »

Чего-то подозрительно.
Вопросы
- У вас вся работа идет через прокси на ИСА?
Т.е. по этим правилам ни один пакет чей адресат во внешней сети до Cisco не дойдет.
Разрешен трафик только от ISA и то, для двух сетей.
Такое возможно только в случае импользования ИСА как прокси для всех протоколов, что нереально.
(Ходовые конструкции это прокси + кэширующий ДНС)

- 172.10.253.0 аутентифицироваться на ИСА не будут?

===

Цитата aptv:

permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443 permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25 »

Конструкция неверна.

Она разрешает ISA ходить на какие-то непонятные http, https, pop3, smtp - сервера.
Не клиенты, а именно сервера.

[Aleksey Potapov]

У нАс вся работа идёт через.....щас скину...
http://s55.radikal.ru/i147/0811/d2/22e7983e6286.jpg
Вот схема....

Ps сама структура сети....как на Ваш взгляд?

[kim-aa]

ИСА у вас используется в качестве шлюза-фаервола с NAT.

Вот вы какие ДНС сервера указываете в настройках почтового и прочих серверов?
А какие адреса используются как SMTP-relay у почтового сервера?
Ведь не IP ИСА вы туда подставляете, не так ли?

[Aleksey Potapov]

шлюза фаервола и прокси сервера для vlan 101

Используются внутренние ДНС сервера. он сам себе рилэй

[kim-aa]

Цитата aptv:

Используются внутренние ДНС сервера »

Хорошо, поставим вопрос по другому.
Кто именно возвращает внутренним серверам внешние IP, для внешних имен (кто именно производит разрешение имен для внешних систем)? Адрес приведите.

Цитата aptv:

он сам себе рилэй »

Значит он должен напрямую (на уровне SMTP) адресоваться к внешним почтовым серверам, не так ли?
И внешние Сервера должны ему ответить.
Т.е. ваш почтовый сервер (172.10.1.6) послав SMTP запрос, скажем к mail.ru, будет ожидать ответа (адрес отправителя в пакете IP) именно от mail.ru, а не от внутреннего интерфейса ISA.

Иное дело что ИСА подменит адрес получателя в данном пакете со своего (внешнего) на внутренний Почтового сервера.
Но ведь почтовый сервер об этой операции ничего не знает. НАТ происходит скрытно от него

[Aleksey Potapov]

DNS 195.14.50.1
195.14.50.21
213.234.194.7

[kim-aa]

Цитата aptv:

DNS 195.14.50.1 195.14.50.21 213.234.194.7 »

Ну и соответственно вы должны на FE0 разрешить входящий трафик от данных серверов.
Но с почтовыми, то так не выйдет. Вы же не перечислите все почтовые сервера по IP.

Но ИМХО проще, для начала, просто разрешить трафик получателем которого являются ваши сервера.
Можете ужесточить правила с указанием портов источника: 53, 25, 110, 80, 443

Как выучите ACL полностью - построите более сложные конструкции с проверкой синхронизации TCP-дейтаграм и прочими наворотами

[Aleksey Potapov]

Сейчас переткнул обратно в влан 101 isa - были проблемы с маршрутизацией.....тоесть ISA у меня теперь опять в Vlan 1 с адресом 172.10.1.7
ip access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any

ip access-list extended vlan101_in
permit any host
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.6 eq 25
deny any


ip access-list extended vlan103_in
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25
deny any


Правильно?

[kim-aa]

Цитата aptv:

ip access-list extended vlan101_in permit any host »

Согласно правилам обработки ACL, все строки ниже
permit any host
НИКОГДА не будут задействованы, т.к. данное правило верно всегда

Т. е. вы просто разрешаете весь входящий трафик

[Aleksey Potapov]

Можете мне написать правильный ACL для моего случая?
Разрешить всеь траффик между Vlan 101 и vlan 102
Разрешить входящий трафик типа smtp pop3 http и https до хостов 172.10.1.4 и 172.10.1.5 из vlan 103 в vlan101 + траффик типа dns из vlan 103 в vlan101 до хостов 172.10.1.4 и 172.10.1.5

Вопрос отдельно - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?