URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18031
[ Назад ]

Исходное сообщение
"запрет проброс порта для RDP для определённых хостов"
Отправлено Вас , 16-Янв-09 22:20

Всем здравствуйте!
Очередной пост по заезженной теме:
Требуется настроить проброс порта 3389 на Cisco 871, причём разрешить его только для нескольких ip. ПРоблема в том, что если вешать access-list на FastEthernet4, то пропадает интернет у всех, сам интерфейс не пингуется даже с циски (?!!):
interface FastEthernet4
description $ETH-WAN$
ip address 84.17.x.x 255.255.255.252
ip nat outside
ip access-group FW in
ip virtual-reassembly
duplex auto
speed auto
crypto map cisco
crypto ipsec df-bit clear
crypto ipsec fragmentation before-encryption
!
ip nat inside source route-map nonat interface FastEthernet4 overload
ip nat inside source static tcp 192.168.26.97 22 84.17.x.x 22 route-map nonat extendable
ip nat inside source static tcp 192.168.26.97 23 84.17.x.x 23 route-map nonat extendable
ip nat inside source static tcp 192.168.26.5 3389 84.17.x.x 3389 route-map rdp extendable
!
ip access-list extended FW
permit tcp host 85.26.y.y 0.0.0.0 84.17.x.x eq 3389
permit tcp host 85.26.z.z 0.0.0.0 84.17.x.x eq 3389
deny ip any any eq 3389
permit ip any any
!
access-list 190 permit tcp host 85.26.y.y host 84.17.x.x eq 3389
access-list 190 permit tcp host 85.26.z.z host 84.17.x.x eq 3389
access-list 190 deny ip any any
!
no cdp run
!
route-map rdp deny 10
match ip address 190
!
При этом, если убрать строку "deny ip any any eq 3389", то всё работает, но RDP возможен отовсюду и для всех. Нужно ли вообще использовать route-map? В чём может быть проблема?
Спасибо!

Содержание

запрет проброс порта для RDP для определённых хостов,Eduard_k, 00:42 , 17-Янв-09
- запрет проброс порта для RDP для определённых хостов,Вас, 13:19 , 17-Янв-09
  - запрет проброс порта для RDP для определённых хостов,Eduard_k, 00:02 , 18-Янв-09
    - запрет проброс порта для RDP для определённых хостов,Вас, 20:08 , 18-Янв-09

Сообщения в этом обсуждении

"запрет проброс порта для RDP для определённых хостов"
Отправлено Eduard_k , 17-Янв-09 00:42

>[оверквотинг удален]
>no cdp run
>!
>route-map rdp deny 10
> match ip address 190
>!
>
>При этом, если убрать строку "deny ip any any eq 3389", то
>всё работает, но RDP возможен отовсюду и для всех. Нужно ли
>вообще использовать route-map? В чём может быть проблема?
>Спасибо!
всесто
deny ip any any eq 3389
надо deny tcp any any eq 3389

"запрет проброс порта для RDP для определённых хостов"
Отправлено Вас , 17-Янв-09 13:19

>всесто
>deny ip any any eq 3389
>надо deny tcp any any eq 3389
Да, сорри, опечатался. С "deny ip any any eq 3389" оно бы ругнулось..)

"запрет проброс порта для RDP для определённых хостов"
Отправлено Eduard_k , 18-Янв-09 00:02

>>всесто
>>deny ip any any eq 3389
>>надо deny tcp any any eq 3389
>
>Да, сорри, опечатался. С "deny ip any any eq 3389" оно бы
>ругнулось..)
тогда со списком доступа все нормально.
попробуйте нат без роутмапов сделать
ip nat inside source static tcp 192.168.26.5 3389 84.17.x.x 3389

"запрет проброс порта для RDP для определённых хостов"
Отправлено Вас , 18-Янв-09 20:08

Спасибо, попробую..