ipfw + cisco

[abc_Kazan]

Доброго время суток !!!

Господа, есть следующая проблема:

Два удаленных офиса соеденены модемами Cisco 800 серии на каждом модеме слдеующие интерфейсы atm0 atm0.1 e0

вот конфигурация

interface Ethernet0

ip address ххх.ххх.ххх.ххх 255.255.255.252 secondary

ip address 172.16.0.30 255.255.0.0

hold-queue 100 out

interface ATM0

ip address 172.25.11.18 255.255.255.252

ip access-group 100 out

no atm ilmi-keepalive

pvc 1/32

protocol ip 172.25.11.17

encapsulation aal5snap

dsl operating-mode auto

interface ATM0.1 point-to-point

ip address 10.10.0.1 255.255.255.252

pvc 1/33

protocol ip 10.10.0.2

encapsulation aal5snap

ip classless

ip route 0.0.0.0 0.0.0.0 172.25.11.17

ip route ххх.ххх.ххх.ххх. 255.255.255.248 10.10.0.2

ip route 172.17.0.0 255.255.0.0 10.10.0.2

так же на интерфейс atm0 повешенны следующие правила:

на вход:

access-list 100 permit tcp any any eq domain

access-list 100 permit udp any any eq domain

access-list 100 permit tcp any any eq ftp

access-list 100 permit tcp any any eq telnet

access-list 100 permit tcp any any eq smtp

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any any eq pop3

access-list 100 permit tcp any any eq 8080

на выходе правил нет !!!

Также есть шлюз на FreeBSD 4.8

на нем Firewall скомпилен но не настроен.

имеет 2 интерфейса

fxp0 yyy.yyy.yyy.yyy - внешний

em0 172.16.0.20 - внутрений

машины из разных офисов друг друга видят и у всех есть и-нет

Вопрос1: какие првила надо повестить на atm0 out обезопасить сеть от атак и вирей ?

Вопрос2: как настроить раздачу и-нета клиентам по IP с ограничением скорости и при всем при этом чтоб пользователи из разных офисов могли добираться до общих ресурсов ?

Заранее благодарен, Андрей

PS atm0 смотрит на провайдера, atm0.1 смотрит на удаленный офис

конфигурацию второй cisco не привожу потому что она идентична данной только разные ip и еще сеть в одном офисе 172.16.0.0/16 в другом 172.17.0.0/16

xxx.xxx.ххх.ххх это белый ip cisco

yyy.yyy.yyy.yyy это белый ip FreeBSD

[a.slastenov]

Самое первое правило безопасности ) для Циски

access-list 5 permit 192.168.0.0 0.0.0.255

line vty 0 4

access-class 5 in

transport preferred all

transport input telnet

transport output all

естественно вместе 192.168.0.0 ставишь свои адреса с которых заходить хочешь))

далее ограничить ширину канала можно с помощью rate-limit

rate-limit input access-group 199 64000 8000 8000 conform-action transmit exceed-action drop

rate-limit <направление> access-group <номер акцесс листа где перечислены ИПшнки которые надо зажимать и которые не надо зажимать> <скорость> <с помощью этих параметров ты сглаживаешь всплески траффика> conform-action <что нужно делать если условием соблюдено> exceed-action <что делаем если условие не соблюдено>

далее насчет акцесс-листа пример

access-list 199 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 199 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

означает что между этими двумя сетями траффик жаться не будет

access-list 199 deny ip any host 192.168.2.1

значит что для хоста 192.168.2.1 траффик жаться не будет

access-list 199 permit ip any any

значит что все остальное будет жаться

если не понятно спрашивай)

ЗЫ. rate-limit может не работать в твоей версии IOS

[abc_Kazan]

Доброго времени суток !!!

2 Diadon

очень благодарен за ответ, уже и не ждал )))

то что Вы описали в своем ответе я знал и так.

Меня интересует не статичная настройка ACL а динамичная.

К примеру мне нужно включить какомоту ИП интернет, а комуто обрезать... по вашему совету мне придется переписывать весь ACL а если в нем около 200 строк? и еще для каждо юзера я хочу разную пропускную способность которую тоже можно динамично менять ...

[a.slastenov]

наздоровье) пиши скрипт который тебе будет по SNMP нужные тебе правила заливать