форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"запрет проброс порта для RDP для определённых хостов"

Сообщение от Вас on 16-Янв-09, 22:20

Всем здравствуйте! Очередной пост по заезженной теме: Требуется настроить проброс порта 3389 на Cisco 871, причём разрешить его только для нескольких ip. ПРоблема в том, что если вешать access-list на FastEthernet4, то пропадает интернет у всех, сам интерфейс не пингуется даже с циски (?!!): interface FastEthernet4 description $ETH-WAN$ ip address 84.17.x.x 255.255.255.252 ip nat outside ip access-group FW in ip virtual-reassembly duplex auto speed auto crypto map cisco crypto ipsec df-bit clear crypto ipsec fragmentation before-encryption ! ip nat inside source route-map nonat interface FastEthernet4 overload ip nat inside source static tcp 192.168.26.97 22 84.17.x.x 22 route-map nonat extendable ip nat inside source static tcp 192.168.26.97 23 84.17.x.x 23 route-map nonat extendable ip nat inside source static tcp 192.168.26.5 3389 84.17.x.x 3389 route-map rdp extendable ! ip access-list extended FW permit tcp host 85.26.y.y 0.0.0.0 84.17.x.x eq 3389 permit tcp host 85.26.z.z 0.0.0.0 84.17.x.x eq 3389 deny   ip any any eq 3389 permit ip any any ! access-list 190 permit tcp host 85.26.y.y host 84.17.x.x eq 3389 access-list 190 permit tcp host 85.26.z.z host 84.17.x.x eq 3389 access-list 190 deny   ip any any ! no cdp run ! route-map rdp deny 10 match ip address 190 ! При этом, если убрать строку "deny ip any any eq 3389", то всё работает, но RDP возможен отовсюду и для всех. Нужно ли вообще использовать route-map? В чём может быть проблема? Спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "запрет проброс порта для RDP для определённых хостов"

Сообщение от Eduard_k (??) on 17-Янв-09, 00:42

>[оверквотинг удален] >no cdp run >! >route-map rdp deny 10 > match ip address 190 >! > >При этом, если убрать строку "deny ip any any eq 3389", то >всё работает, но RDP возможен отовсюду и для всех. Нужно ли >вообще использовать route-map? В чём может быть проблема? >Спасибо! всесто deny ip any any eq 3389 надо deny tcp any any eq 3389

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "запрет проброс порта для RDP для определённых хостов"
	Сообщение от Вас on 17-Янв-09, 13:19
	>всесто >deny ip any any eq 3389 >надо deny tcp any any eq 3389 Да, сорри, опечатался. С "deny ip any any eq 3389" оно бы ругнулось..)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "запрет проброс порта для RDP для определённых хостов"
	Сообщение от Eduard_k (??) on 18-Янв-09, 00:02
	>>всесто >>deny ip any any eq 3389 >>надо deny tcp any any eq 3389 > >Да, сорри, опечатался. С "deny ip any any eq 3389" оно бы >ругнулось..) тогда со списком доступа все нормально. попробуйте нат без роутмапов сделать ip nat inside source static tcp 192.168.26.5 3389 84.17.x.x 3389
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "запрет проброс порта для RDP для определённых хостов"
	Сообщение от Вас on 18-Янв-09, 20:08
	Спасибо, попробую..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]