Linux jako firewall - CISCO

[David Rohleder]

> U novych OS firmware na CISCO je treba dbat na presnou posloupnost
> prikazu v access-listu, ted nevim jestli prvni vsechno zakazat a potom
> neco povolit nebo naopak.
> 
> 					Majer

Takze to shrnme. Puvodni dotaz byl na to zakazat port ze source adresy.
V R11.2 je nasledujici:

For TCP, you can also use the following syntax: 
     access-list access-list-number [dynamic dynamic-name [timeout minutes]] 
	{deny | permit} 
     tcp source source-wildcard [operator port [port]] destination 
	destination-wildcard [operator port [port]] [established] 
	[precedence precedence] [tos tos] [log] 

Takze filtrovani podle source portu by melo fungovat (osobne si myslim,
ze manualy si to nevycucaly z prstu, ale nezkousel jsem to). Samozrejme se 
pak ten access-list musi pridat do interfacu (meziksichtu).

Na poradi pravidel v access-listu samozrejme zalezi a neni to nic 
nelogickeho. Horsi je, ze kdyz chces neco pridat doprostred
tak to musis cele zahodit a pak to nadefinovat od zacatku.
Dalsi vec je, ze definici accesslistu nemusi to cisco prezit a 
muze se na ethernetu zahltit a spadnout (asi ty starsi typy s vetsi
zatezi). 

BTW: Nestalo by za to zalozit konferenci o produktech od Cisca?
Uz jsme se od toho tematu firewallu na linuxu dostali dost daleko.

Jeste neco. Cisco umi filtrovat napr. podle MAC adres.


-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------