Linux jako firewall - CISCO

Pondělí Duben 14 13:40:42 CEST 1997

David Rohleder wrote:
> 
> > U novych OS firmware na CISCO je treba dbat na presnou posloupnost
> > prikazu v access-listu, ted nevim jestli prvni vsechno zakazat a potom
> > neco povolit nebo naopak.
> >
> >                                       Majer
> 
> Takze to shrnme. Puvodni dotaz byl na to zakazat port ze source adresy.
> V R11.2 je nasledujici:
> 
> For TCP, you can also use the following syntax:
>      access-list access-list-number [dynamic dynamic-name [timeout minutes]]
>         {deny | permit}
>      tcp source source-wildcard [operator port [port]] destination
>         destination-wildcard [operator port [port]] [established]
>         [precedence precedence] [tos tos] [log]
> 
> Takze filtrovani podle source portu by melo fungovat (osobne si myslim,
> ze manualy si to nevycucaly z prstu, ale nezkousel jsem to). Samozrejme se
> pak ten access-list musi pridat do interfacu (meziksichtu).
> 
> Na poradi pravidel v access-listu samozrejme zalezi a neni to nic
> nelogickeho. Horsi je, ze kdyz chces neco pridat doprostred
> tak to musis cele zahodit a pak to nadefinovat od zacatku.
> Dalsi vec je, ze definici accesslistu nemusi to cisco prezit a
> muze se na ethernetu zahltit a spadnout (asi ty starsi typy s vetsi
> zatezi).
> 
> BTW: Nestalo by za to zalozit konferenci o produktech od Cisca?
> Uz jsme se od toho tematu firewallu na linuxu dostali dost daleko.
> 
> Jeste neco. Cisco umi filtrovat napr. podle MAC adres.
> 
Ta konference o CISCO produktech by byla super. Az nainstaluji nas Inet
server tak tam tu konferenci udelam.

					Majer