Немного заметок.
Интерфейсы и Зоны Безопасности:
interface ethernet0 100fullinterface ethernet1 100full
interface ethernet2 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
Зонам назначается номер. Наивысший номер у зоны с максимальным уровнем безопасности, наименьший - у зоны с низшим уровнем безопасности.
По-умолчанию, доступ из зоны с большим номером в зону с меньшим номер разрешён. Обратно - запрещён.
NAT
static (inside,outside) cvetochek_out cvetochek_in netmask 255.255.255.255 0 0
static (inside,dmz) cvetochek_out cvetochek_in netmask 255.255.255.255 0 0
Access-Lists
Бывают двух видов:
1) access-list all_vpn permit ip 172.16.0.0 255.255.0.0 172.19.0.0 255.255.0.0
2) conduit permit tcp host web5_comstar_out eq https any
conduit permit tcp host web5_comstar_out eq www any
conduit permit tcp host arc_in range 10000 10075 host web5_comstar_out
conduit permit tcp host arc2_in range 10000 10075 host web5_comstar_out
conduit permit tcp host maya_out eq www host web5_comstar_out
сonduit permit tcp host chara_comstar_out range 8100 9000 host web5_comstar_out
conduit permit tcp host arctur2_comstar_out eq 1433 host web5_comstar_out
conduit permit tcp host mirach2_comstar_out eq 1433 host web5_comstar_out
Последний вариант, как правило на древних прошивках.
Object-Group:
Можно создавать такие группы:
object-group icmp-type echogroup
icmp-object echo-reply
icmp-object unreachable
icmp-object time-exceeded
icmp-object echo
object-group service shom tcp
port-object eq 3389
port-object eq www
port-object eq 2598
port-object eq citrix-ica
port-object eq https
object-group network CD_in
network-object host CD2_in
network-object host CD1_in
network-object host CDTEST_in
object-group service ElPorts tcp
port-object eq https
port-object eq 4443
port-object eq 5060
port-object eq 6800
port-object eq 6801
port-object eq 6802
port-object eq 6880
port-object eq 36005
port-object eq 36006
port-object eq 36007
port-object eq 37000
port-object eq 3998
port-object eq 30022
port-object eq www
port-object eq 8222
object-group service CD-GPorts udp
port-object eq tftp
port-object eq 5060
port-object range 20000 50000
port-object eq domain
object-group network Offices
network-object host 209.88.82.14
network-object host 101.20.85.172
Как выйти из режима Show Run:
- Кнопка Q!
Если вы ввели show run, то польётся большая простыня конфигурации. Люди что не работали с такой древностью не знают как правило, что единственный способ остановить процесс - это клавиша Q.
Комментариев нет:
Отправить комментарий