Linux jako firewall - CISCO
David Rohleder
davro na ics.muni.cz
Pátek Duben 11 13:59:39 CEST 1997
> U novych OS firmware na CISCO je treba dbat na presnou posloupnost
> prikazu v access-listu, ted nevim jestli prvni vsechno zakazat a potom
> neco povolit nebo naopak.
>
> Majer
Takze to shrnme. Puvodni dotaz byl na to zakazat port ze source adresy.
V R11.2 je nasledujici:
For TCP, you can also use the following syntax:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit}
tcp source source-wildcard [operator port [port]] destination
destination-wildcard [operator port [port]] [established]
[precedence precedence] [tos tos] [log]
Takze filtrovani podle source portu by melo fungovat (osobne si myslim,
ze manualy si to nevycucaly z prstu, ale nezkousel jsem to). Samozrejme se
pak ten access-list musi pridat do interfacu (meziksichtu).
Na poradi pravidel v access-listu samozrejme zalezi a neni to nic
nelogickeho. Horsi je, ze kdyz chces neco pridat doprostred
tak to musis cele zahodit a pak to nadefinovat od zacatku.
Dalsi vec je, ze definici accesslistu nemusi to cisco prezit a
muze se na ethernetu zahltit a spadnout (asi ty starsi typy s vetsi
zatezi).
BTW: Nestalo by za to zalozit konferenci o produktech od Cisca?
Uz jsme se od toho tematu firewallu na linuxu dostali dost daleko.
Jeste neco. Cisco umi filtrovat napr. podle MAC adres.
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux