Суть CBAC в том, что он позволяет любой доступ LAN -> WAN, при этом запрещает доступ WAN -> LAN, кроме трафика, что был инициирован из LAN.
То есть если вы из локальной сети откроете web страницу из сети Интернет (или любой другой запрос наружу), то обратный ответ от сервера в виде содержимого страницы вы получите обратно (то есть страница у вас откроется или запрос выполнится), так как CBAC обозначил у себя, что это запрос был инициировал из LAN.
Образец:
Лист NOPING:
ip access-list extended NOPINGpermit tcp any any eq 30020 (разрешаем проброс ip nat inside)
permit tcp any any eq 30041 (разрешаем проброс ip nat inside)
permit tcp any any eq ftp (разрешаем входящий FTP трафик - порт 21)
permit tcp any any eq 922 (разрешаем ssh на роутер по нестандартному порту)
permit udp any any eq bootps (DHCP - порт 67)
permit udp any any eq bootpc (DHCP - порт 68)
permit udp any eq domain any (чтобы роутер мог разрешать доменные имена - порт 53)
permit udp any eq ntp any (чтобы роутер мог синхронизировать своё время - порт 123)
permit udp any any eq isakmp (нужен для IPSEC, PPTP, L2TP)
permit udp any any eq non500-isakmp (нужен для IPSEC, PPTP, L2TP)
permit tcp any any eq 1723 (PPTP)
permit udp any any eq 443 (SSTP)
permit gre any any log (разрешаем GRE для IPSEC и PPTP, L2TP)
permit esp any any (разрешаем ESP для IPSEC и PPTP, L2TP)
*2 строки DHCP нужны, так как я получаю по DHCP адрес от провайдера на внешний интерфейс
CBAC:
ip inspect name NOPING-CBAC tcpip inspect name NOPING-CBAC udp
ip inspect name NOPING-CBAC icmp
Внешний Интерфейс
interface FastEthernet0/0ip address dhcp (IP адрес от провайдера получаю автоматически)
ip access-group NOPING in (Лист на вход)
ip nat outside
ip inspect NOPING-CBAC out (Инспекция трафика)
ip virtual-reassembly
duplex full
speed auto
Пробросы внутрь:
ip nat inside source static tcp 192.168.1.20 3389 interface FastEthernet0/0 30020ip nat inside source static tcp 192.168.1.41 3389 interface FastEthernet0/0 30041
Комментариев нет:
Отправить комментарий