спасибо за подксазку!

класс молоцом, сработало

Зачем делать расширенный access list, если мы не указываем протоколов и портов? Целесообразнее использовать стандартный access list и добавить в него два разрешающих правила ! На работу особо не влияет, можно любой из них использовать, но эстетика КС должна быть !

Это можно легко сделать самому)

Или, как вариант, делать НОВЫЙ аксесс-лист, задать reload in и применить новый аксесс-лист вместо старого на нужном интерфейсе. И если всё ОК, то удаляем старый аксесс-лист.

Сергей очень полезный комментарий, спасибо! Не подскажете как настраивается Access list на L3 коммутаторах ? У меня проблема в том что на физический интерфейс коммутатора не получается повесить правило NAT outside, только на виртуальные, я привязал к физическому интерфейсу VLAN5 и назначил его outside, но все равно при этом пакеты пропускаются.

блин ты кросс,это реально полезный совет

Abu Muslim На один интерфейс можно повесить ОДИН аксес лист на ВХОДЯЩИЙ трафик и ОДИН аксес лист на ИСХОДЯЩИЙ.

Вопрос из серии "А почему я не могу махать крыльями?". Обычный человек сразу понимает что у спрашивающего нет крыльев и сам вопрос не имеет смысла. Интернет НИКАК не может видеть внутреннюю сеть. Если он(интернет) ее видит, то это уже не внутренняя сеть. Внимательно все пересматривай.

спасибо за отзыв! учту.

Или permit 192.168.3.100 0.0.0.0

Андрей Гуглофон permit host 192.168.3.100 надо поставить первым мне кажеться, перед строчкой бух сети. иначе срабатываеть будет она и отсеивать админа, или нет?

+Artyom Davydov А что значит строчка 0.0.0.0?

+Андрей Гуглофон Спасибо, Помогли! : )))

Мог бы пример строчки написать чтобы понятнее было ?

Если соединение во внутреннюю сеть инициируется извне (т.е. с Router1) то в адресе назначения будет указан какой-то из узлов внутренней сети, поэтому этот пакет будет отброшен, как несоответствующий условию списка доступа. Если же соединение инициируется из внутренней сети, например ICMP-запрос (ping), в интернет, то NAT подменит внутренний адрес источника пакета на адрес внешнего интерфейса маршрутизатора, поэтому ответ на этот запрос вернётся уже с адресом внешнего интерфейса, который будет пропущен правилом ACL, а затем преобразован NAT-ом во внутренний.

1)Да, обычно так и делается. У меня они были в одном сегменте для простоты и для рассмотрения разных аксес-листов. 2)Для подключения внешних сотрудников лучше всего использовать удаленное подключение по VPN, так называемый RA VPN. Аутентификацию этих пользователей можно вынести на отдельный AAA сервер. На маршрутизаторе создается несколько групп удаленных подключений, для каждой группы вы можете определить свои собственные аксес листы. А давать доступ к компьютерам в локальной сети через прописывание аксес листов на внешнем интерфейсе - не самая удачная идея. Если конечно ваш сервер не публичный и находится в DMZ зоне, о которой мы будем говорить через урок. 3)Ответ вытекает из 2-го пунка. Не стоит прописывать аксес листы на доступ к внутренним ресурсам. Либо разрешайте для всех IP. 4)Тут надо исходить опять же из 2-го пункта. Доступ к внутренним ресурсам только через RA VPN. Тогда если сотрудник потеряет устройство, то злоумышленник должен еще знать пароль от VPN подключения. Если уж он и его знает, то естественно здесь уже ничего не поможет. Единственное что можно предложить, это использование устройств обнаружения вторжений. Cisco IPS уже не актуален, так что остается FirePower NIPS или Cisco Threat Defence, либо Snort(бесплатный). С помощью этих устройств можно выявить анамальную активность, например злоумышленник начал выкачивать большие объемы данных, что не характерно для легитимного пользователя. На основе этой анамальной активности учетка может быть заблокирована, как скомпромитированная. 5)вообще не планировал данную тему включать в курс, но подумаю.

NetSkills. Видеоуроки. Cisco, zabbix, linux. Большое спасибо за ответ! Вы направляете меня и, надеюсь других интересующихся слушателей, в нужном направлении. Зачем нужны системы мониторинга сети, такие как Zabbix, если Cisco Threat Defence берет на себя роль универсального защитника от кибератак? :)

Podranok не стоит путать SIEM системы с IPS и с системами мониторинга) Если вкратце, то SIEM система это большой Лог сервер, который собирает логи со всех устройств, будь то устройства безопасности или обычные компьютеры. Дальше он эти логи анализирует, коррелирует между собой. К примеру заметив из логов, что кто-то сначала получило доступ к файловому серверу, а затем получив логи, что с файлового сервера идет удаление файлов активное, он может принять решение, что это злоумышленник, и что следует заблокировать учетку. Т.е. SIEM позволяет собрать всю информацию о событиях в одном месте. Яркие представители SIEM систем - ArcSight, Splunk. IPS же анализирует трафик, а не логи. И уже IPS проанализировав трафик может создать сообщения о нарушении безопасности, которые увидит SIEM система. А там уже как настроим, может сам IPS блокировать трафик, может SIEM система, проанализировав логи. К примеру новый IPS от Cisco (FirePower NgIPS) в себе совмещает и SIEM систему. Cisco Threat Defence - это тоже гибрид IPS с SIEM. Во многом он более удобен что классический IPS, т.к. его можно установить в любом месте, не меня архитектуру сети. Но классический IPS конечно же лучше анализирует трафик. А есть системы мониторинга, такие как Zabbix, Nagios, Cacti, цель которых это мониторинг технического состояния IT инфраструктуры, они никакого отношения не имеют к событиям безопасности (вирусы, сканирование портов, подбор паролей). Их цель это сбор статистики: время пинга до узлов, потери, загрузка канала, свободное место на жестком диске, загрузка процессора, работоспособность определенных сервисов, составление карты сети. Есть умельцы которые используют Zabbix для сбора событий безопасности, прикручивая различные скрипты. Есть и те, кто использует SIEM системы для проверки доступности устройств, загрузки процессоров. Но это все равно что молотком шурупы забивать.

NetSkills. Видеоуроки. Cisco, zabbix, linux. Понятно. Спасибо!

касательно 5-го пункта, включите пожалуйста в лекции, это очень полезная информация...

cisco

Вот у тебя интерфейс на маршрутизаторе есть. Если ты помтавиш in, то аксес лист будет применяться ТОЛЬКО тогда когда пакеты извне приходят на твой интерфейс, а если out, то твой аксес лист будет применяться ТОЛЬКО тогда, когда пакеты будут из твоего маршрутизатора через твой интерфейс выходить наружу, а на входящие пакеты этот аксес лист применяться не будет

Та же беда. Пересоздал маршрутизатор и все норм. Что это было так и не понял. Возможно сначала поспешил добавил в ACL сеть 5.0 и сразу удалил (точно уже не помню), и вылез такой баг.

А нет. Поспешил с выводами. Беда осталась. Буду думать дальше.

Покажите конфиг второго рутера

Второго это Router1?

Точно, провайдера же взломали. Я проверял пинг уже после взлома провайдера Router1. ip route 192.168.0.0 255.255.0.0 210.210.0.2. А надо было до.

Евгений Соколов не правильно вы поняли. Когда аксес лист применяется на IN направление, то трафик отбрасывается маршрутизатором сразу и грубо говоря не попадает внутрь маршрутизатора, не учавствует в процессах маршрутизации и не нагружает роутер. Если вы вешаете аксес лист в направлении OUT, то трафик уже находится внутри маршрутизатора и обрабатывается им, отъедает процессорную мощность. Таким образом вы можете резать трафик уже на выходе из физического или логического интерфейса (хотя логический тоже привязан к физическому).

​@@netskills спасибо!

ollllvllllo оп, внизу уже ответили)

собственно интересует тот же вопрос..

в общем все просто) входящие правило на интерфейсе 0/1.5 по факту уже есть в маршрутизаторе, так как пришло с интерфейса 1.2. а значит оно не обрабатывается. вход для интерфейса 1.5 есть трафик от самого 1С, а значит правило будет работать только на исх 1.5 либо на входах 1.2, 1.3, 1.4 что и было сказано автором ролика)

Это естественно... Вы же когда получаете сетевые настройки от провайдера там же имеется ШЛЮЗ. Тут мы ничего от "провайдера" не получили. В итоге руками пришлось прописать маршрут до маршрутизатора "провайдера"

+bigsem89 не дэнай, а динай [dɪˈnʌɪ] ;-)

Да, это и имелось ввиду, спасибо))

ДЭНИ АЙПИ!!! БЛЕАТЬ! лондон ис зэ капитал оф грит британ

А все работает , после удаления старого листа забыл новый к интерфейсу прикрепить

@@webmthread9836 как прикрутить к интерфейсу? запутался.

тот кто будет спрашивать - сам их все не знает, я тебе больше скажу, вообще все команды никто не знает, проблемы решаются по мере их поступления. Достаточно лишь знать как оно работает и понимать где искать инфу, чтобы исправить проблему.

Наверное у тебя проблемы с колонками/наушником. С телефона норм звучит на 30% громкости

cisco

зачем 2.0?

нужно чтобы на остальных был доступ куда то еще и в то же время не было доступа к любым портам сервера 210.210.1.2 кроме www(80). если мы не напишем "deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2" . то тогда правило "permit ip any any" позволит всем компам из той же сети юзать любые порты этого сервера.

Так а в чем проблема самому сделать стенд? Пока делаешь стенд или заготовки, закрепляешь навыки. Я вообще лабы скачиваю, только в случае, если на моем макете, что-то не идет и я не могу найти ошибку. Скачал, сравнил, выявил ошибку, пошел дальше. И что значит описания к лабе нет??? Евгений все рассказал и в рот положил, осталось только пережевать и проглотить. Во народ дает!

молорик