Eltex Knowledge Base
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Второй наглядный пример, разрешить узлу с ip-адресом 192.51.100.6esr-10(config)# object-group network GRE_UNTRUSTED_PERMIT 6 из зоны untrusted устанавливать gre-сессию на текущий маршрутизатор:

Блок кода
esr(config)# object-group network GRE_UNTRUSTED_PERMIT
esr(config-object-group-network)# ip address-range 192.51.100.6
esr(config-object-group-network)# exit
esr(config)# security zone-pair untrusted self 
esr(config-zone-pair)# rule 100
esr(config-zone-pair-rule)# action permit 
esr(config-zone-pair-rule)# match protocol gre
esr(config-zone-pair-rule)# match source-address GRE_UNTRUSTED_PERMIT 
esr(config-zone-pair-rule)# enable 
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit

...

Блок кода
esrvf# show ip firewall sessions 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
tcp     192.168.1.15:54366      192.168.125.17:22          192.168.1.15:54366      192.168.125.17:22          --           --           AC       

...

Что если на интерфейсе не настроена security-zone или и не отключен Firewall?

В таком случае будет блокироваться весь входящий трафик, поскольку нет разрешающий набора разрешающих правил для его обработки. 

Что если на входящем интерфейсе настроена security-zone, а на исходящем интерфейсе security-zone не определена и отключен firewall?

В этом случае пакеты любых сессий, поступившие через входящий интерфес, на котором определена security-zone, будут отброшены, т.к. невозможно создать набор разрешающих правил ("security zone-pair <source-zone> <destination-zone>"),
поскольку security-zone на исходящем интерфейсе не определена. Чтобы трафик отправлялся через исходящий интерфейс, необходимо сконфигурировать на нём security-zone и определить набор разрешающих правил взаимодействия этих пары зон (security zone-pair).
После этого трафик из входящего интерфейса, определённого к security-zone с включенным firewall, будет отправляться через исходящий интерфейс с определённым на нём security-zone и обрабатываться согласно набору правил взаимодействия зон security zone-pair.