TheLib.Ru » ОС и Сети » Автор неизвестен » FAQ по материалам FIDO-конференции RU.CISCO » онлайн-чтение (стр. 1)

 

 

    dyer@sut.ru

    http://cube.sut.ru/~dyer/faq/cisco.html
    Текстовая версия
    ftp://ftp.east.ru/pub/inet-admins/cisco.txt





    DISCLAIMER.

    Составитель данного текста не является Cisco-гуру

    и не осуществляет tech-support by e-mail or netmail.







    
0. Общие вопросы
    
1. Sync,Async,AUX,Callback
    
2. FR
    
3. X25
    
4. ACL
    
5. Traffic-shape
    
6. Routing
    
7. TACACS,RADIUS,AAA
    
8. Memory
    
9. NTP, TZ
    
10. NAT
    
11. Telco, ISDN
    
<!-- 12. Telco -->
    
13. SNMP
    
14. Cables
    
15. TROUBLESHOOTING
    
97. Software
    
98. IOS Black Lis/White List/Recommendations
    
99. Misc
    
Заметки на полях
    

    
===========================================================
    

    http://www.cisco.com и
    
http://www-europe.cisco.com
    

    
[11.09.2000] По поводу UniverCD.
    

    
A>:(Dmitry Morozovsky) 'Новые' DocCD от Cisco - gzip-compressed
    

    
------- httpd.conf:
    

    
Action text/gzipped /cgi-bin/gzcat.cgi?
    
AddHandler text/gzipped .html .htm
    

    

    
------- gzcat.cgi:
    
#!/bin/sh -
    

    
echo "Content-type: text/html"
    
echo ""
    

    
HF=${DOCUMENT_ROOT}/$REQUEST_URI
    

    
if [ -r $HF ]; then
    
        gzcat -f $HF
    
else
    
        echo "No such file, sorry"
    
fi
    

    
>A: По поводу установки под Win2k  (Sergey Zarubin)
    

    
From: "Evan Wagner" 
    
Newsgroups: comp.dcom.sys.cisco
    
Subject: Re: Windows 2000 & Cisco CD
    
Date: Thu, 20 Apr 2000 23:04:18 -0400
    

    
To get the Cisco documentation to work under Windows 2000:
    

    
Run regedit
    

    
Export your registry (as a precaution)
    

    
Locate the Windows 2000 Registry Key:
    
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/IE4/Setup/Path
    

    
Change the value from "%programfiles%\Internet Explorer" to the location
    
where IE is installed on your system, for example "D:\Program Files\Internet
    
Explorer"
    

    
Uninstall the Cisco Documentation CD
    

    
Delete the old install directory
    

    
Reinstall the Cisco documentation CD and you should be good to go.
    

    
>A: Александр Раинчик Cisco Systems and Cisco Routers in a Nutshell
    
http://www.clark.net/pub/rbenn/cisco.html
    

    
Есть такой замечательный сервер: McGraw-Hill Beta Books
    
http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html
    

    
>A: (Dmitriy Yermakov)
    

    
Кое-какие конкретные примеры конфигов есть на
    
Релкоме
    
http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html
    
DEOle
    
http://www.deol.ru/~bog/work/cisco_access.html
    

    
Sample Configurations на www.cisco.com
    
http://www.cisco.com/warp/public/700/tech_configs.html
    

    
Guide to Cisco Router Configuration
    
http://www.primenet.com/~web/router/cisco-configuration.html
    

    
Cisco роутеры и борьба с ними в библиотете М.Мошкова
    
http://www.parkline.ru/Library/koi/CISCO/
    

    
TACACS-FAQ - http://www.easynet.de/tacacs-faq
    

    
Список AV-pairs для TACACS - http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/csnt23/csnt23ug/ap_tacac.htm
    

    
CISCO-FAQ - comp.dcom.sys.cisco Frequently Asked Questions
    
http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt и
    
ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt
    

    
CISCO-FAQ на сервере Cisco - http://www.cisco.com/warp/public/458/index.shtml
    

    
Архив mailing-list inet-admins http://info.east.ru/win/inetadm.html где тоже есть вопросы/ответы. И не только по Cisco.
    

    
Небольшой FAQ http://www.sunshine.dp.ua/os/reports/ciscofaq.html
    

    
Статьи с сообщениями из RU.CISCO на http://www.opennet.ru/base/cisco
    

    
[07.09.2000] >A: Martin McFlySr 
    

    
Поиск по киске на движке Google http://cisco.google.com/cisco
    

    

    
[18.09.2000] Обзор литературы Cisco Press "S.Zaytsev" 
    

    
<!--
    
>A: (Anton L. Vinokurov)
    
Там очень много всяких книжек, курсов, тестов и есть univercd, причем все
    
забесплатно.
    
http://solaris.inorg.chem.msu.ru/cs-books/net-cisco.html
    
-->
    

    
0.2>Q: Где взять архив RU.CISCO ?
    

    
>A: (Dmitriy Yermakov)
    

    
http://www.dejanews.com :)
    

    
0.3>Q:  Где взять свежий IOS ?
    

    
>A: (Denis Saveliev)
    

    
Бета версии лежат на ftp://ftpeng.cisco.com/isp
    

    
P.S. (DY) Вообщем-то IOS не бесплатен.
    

    
[13.06.2000] 0.4>Q: Что такое NetFlow и с чем его едят ?
    

    
>A: (DY)
    

    
Подробнее об этом можно почитать на Cisco http://www.cisco.com/warp/public/732/netflow
    

    
Программы для сборки и обработки статистики NetFlow.
    

    
http://www.auckland.ac.nz/net/NeTraMet
    
http://www.caida.org/Tools/Cflowd
    

    
На этих же сайтах есть еще ссылки, но эти - кажется самые популярные.
    

    
Есть еще http://www.ipmeter.com
    
(биллинг) нужен NeTraMet.
    

    
[05.09.2000]И еще ссылочка http://www.switch.ch/tf-tant/floma/software.html#netflow
    

    
>A: (Vladislav Nebolsine)
    

    
Примеры конфигурации -
    
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/policyrt.htm
    
там же ссылки на дополнительную документацию.
    

    
===========================================================
    

    http://www.mindspring.com/~kewells/net/
    
и скачать необходимые *.inf.
    

    
[19.07.2000] (zaruba@artelecom.ru)
    
предпочитаю скачивать с ftp://ftp.zelax.ru/pub/soft/mdmzelax.inf
    
http://www.zelax.ru/faq/faq76.html
    

    
P.S. (DY) говорят еще что, можно поставить на NT вместо модема - X.25 pad.
    
P.P.S. (DY) найти mdm3640t.inf или взять тут - http://cube.sut.ru/~dyer/faq/mdm3640t.inf.txt с курьерами - работает :)
    

    
>A: (DY) А вот более полный способ (откопан где-то у меня на диске)
    

    
=============================================================================
    
* Area : RU.WINDOWS.NT (RU.WINDOWS.NT)
    
* From : Dmitry Vashkovsky, 2:5020/168.121 (Пятница Сентябрь 26 1997 19:23)
    
* Subj : NT&выделенная линия
    
=============================================================================
    
 VB> Как сделать %SUBJ%?
    
 VB> Есть NT4+SP3+RAS&Routing+Motorola Premier 33.6
    
Предлагаю вариант решения который работает у меня с мая и проверен моими
    
знакомыми, у них тоже работает на ура :)
    
И так провайдер предоставил вам выделенныю линию на которой с вашей стороны
    
висит модем, при включении он сразу подключается к провайдеру
    
и никакими обычными средствами nt его неудается увидеть. Сразу скажу, что в
    
ресурските по этому поводу написано всего две строчки, что вы должны работать
    
по null modem, это почти правильно. Hа самом деле вы имитируете x25.
    
Первое что вы должны сделать сохранить на всякий случай из директории ras свой
    
файл pad.inf и вместо него положить новый я взял из nt3.51 файл modem.inf и
    
отредактировал его (только в нем! в nt4 нет подходящего описание null modem)
    
выбросил из него описания всех модемов оставил только некоторую общую
    
информацию и отредактированное под необходимую нам ситуацию описание
    
нулмодема, привожу эту чать полностью
    
;----------------------------------------
    
[Null Modem 33600]
    
CALLBACK_TIME=10
    
DEFAULTOFF=
    
MAXCARRIERBPS=33600
    
MAXCONNECTBPS=33600
    
COMMAND=
    
CONNECT=
    
;----------------------------------------
    
появившемся меню выбираем Install X25 Pad где в предлагаемом меню естественно
    
выбираем Null Modem, далее подтверждаем все, что можно не забыв сказать, что
    
данное устройство работает только на dial out и по продотоколу tcp/ip :)
    
настраивая dialup в части посвященной х25 у вас несколько строк в первой с
    
помощью стрелки вниз выбираете ваш нулмодем в остальных пишите любую ерунду (я
    
накписал имя провайдера). Все можете спокойно работать. Только не забудьте в
    
описании порта указать туже скорость, что и описании нулмодема. Если вам негде
    
взять modem.inf от nt3.51 можете забрать мой уже отредактированный pad.inf
    
(правда под 19200, ну да цифирки перебить не сложно) у меня по
    
ftp:\\www.advance.com.ru он там лежит прямо в корне.
    
Dmitry dva@skydive.ru http:\\www.advance.com.ru/skydiver
    
ЗЫ: после того как у вас все заработает не забудьте угостить меня пивом
    
=============================================================================
    

    

    
>A: (DY)
    

    
Провозившись какое-то время с http://www.mindspring.com/~kewells/net/
    
пошел несколько другим путем.
    
Пишу по памяти, что вспомнил.
    

    
Со стороны киски -
    

    
modemcap entry usr_ll:FD=&f1&l1:AA=A
    
line X
    
modem autoconfigure type usr_ll
    

    
Со стороны Win,WinNT
    
Ставятся нормальные драйвера от установленого модема.
    

    
Конфигурим модем
    
AT&F1
    
AT&W
    

    
Вариант 1.
    
В настройках модема (там где что-то типа advanced/extra settings)
    
ставим строчку инициализации AT&L1
    

    
Вариант 2.
    
В строчке с телефоном ставим X3T1
    
(в таком варианте пожалуй будет работать любой модем,
    
который и не умеет по паспорту режим Leased Line)
    

    
И еще о том же - http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll.html
    

    
1.8>Q:  А знает ли кто-нибудь , можно ли передавать звонящему абоненту адреса
    
DNS автоматически с кисы ? Я слышал , что такое бывает.
    

    
>A: (Sergiy Zhuk)
    

    
async-bootp dns-server 192.168.3.100 192.168.3.110
    
это DNS ^^^
    
async-bootp nbns-server 192.168.3.2 192.168.2.2
    
а это netbios (wins)
    

    
1.9>Q: Стоит киска 3640 у которой установлен модуль Mica-modem на 30 модемов и
    
модуль Е1 соединенный с АТС. Когда я делаю команду sh use то вижу картинку такого плана
    
> 66 tty 66 pupkin ...
    
> 55 tty 55 vasya ...
    
Как мне узнать по какому таймслоту в потоке Е1 вышел пользователь т.е.
    
существует ли привязка line к bchannel, если нет то можно ли это зделать.
    

    
>A: (Andrew Lun)
    

    
sh modem csm
    

    
1.10>Q: Имеется Cisco 1005. Последовательный порт сконфигурирован
    
как синхронный. Подскажите, pls, как ее заставить работать с асихронным модемом?
    

    
>A: (Dmitry Morozovsky)
    

    
Для 1005 sync-async переключается софтом.
    

    
Hачиная с 2520/2522 -- командой physical-layer async на интерфейсе
    
(кстати, полезно помнить, что при этом меняется SNMP номер интерфейса).
    

    
1.11>Q: Проброс uucp-шников.
    

    
>A: (DY) про RADIUS взято из inet-admins, за точность не ручаюсь.
    

    
a. NAS, TACACS/RADIUS
    

    
TACACS:
    
group = uucp {
    
                default service = permit
    
                service = exec {
    
                                noescape = true
    
                                autocmd = "telnet aaa.bbb.ccc.ddd 540 /stream"
    
                                }
    
          }
    

    
Для RADIUS, (Dmitry Morozovsky)
    

    
/var/spool/uucp/public/.rhosts:
    
nas0    ciscoTS
    
nas1    ciscoTS
    

    
(Basil Dolmatov) - NAS приходит со специфическим именем "ciscoTS"...
    
Именно его и надо разрешать...
    

    
NAS: (Taras Heychenko)
    

    
rlogin trusted-remoteuser-source local
    
rlogin trusted-localuser-source local
    

    
b. Clients
    

    
sys от taylor-uucp
    

    
myname client
    
system host
    
time any
    
call-login uuclient
    
call-password cl.password
    
port port1
    
phone XXXXXXX
    
chat sername: \L\r assword: \P\r ogin: \L\r sword: \P\r
    

    
system.pat от UUPC/@
    

    
200 gGt N g(%L_GWSIZE%,%L_GPSIZE%)/g(%R_GWSIZE%,%R_GPSIZE%) ""
    
 \W20\c name--name--name \p\p\L sword:-\L-sword:-\L-sword:-\L-sword: \p\P
    
->-> \crlogin\sUUHOST\r ogin--ogin--ogin \p\p\L sword:-\L-sword:-\L-sword: \p\P
    

    
UUHOST заменить на свое
    
Для случая с autocommand "->-> \crlogin\sUUHOST\r " можно выкинуть
    

    
1.12>Q: Обратный звонок с Cisco в Windows
    

    
>A: (Vyacheslav V. Fedorov)
    

    
Hа Cisco 2511:
    
version 11.
    
service exec-callback
    
...
    
aaa authentication login execcheck tacacs+
    
aaa authentication ppp ppp_list tacacs+
    
...
    
interface Async2
    
 ip unnumbered Ethernet0
    
 ip tcp header-compression passive
    
 encapsulation ppp
    
 async mode interactive
    
 peer default ip address x.x.x.x
    
 ppp callback initiate
    
 ppp authentication chap ppp_list
    
....
    
line 2
    
 autoselect during-login
    
 autoselect ppp
    
 script modem-off-hook offhook
    
 script callback idc
    
 login authentication execcheck
    
 modem InOut
    
 transport input all
    
 escape-character NONE
    
 callback forced-wait 30
    
 callback nodsr-wait 10000
    
 stopbits 1
    
 rxspeed 57600
    
 txspeed 57600
    
 flowcontrol hardware
    
.....
    

    
Hа сервере где tacacs+:
    

    
В файле tacacs.config
    
user= mylogin {
    
    global = cleartext "xxxxxxxxxx"
    
    service=ppp protocol = lcp {
    
        callback-dialstring = 388888
    
    }
    
    service=ppp protocol=ip {
    
    }
    
    service=exec {
    
        callback-dialstring = 388888
    
        callback-line=2
    
        nocallback-verify=1
    
    }
    

    
}
    

    
>A: (Dmitry Valdov)
    

    
Для того, чтоб юзер мог вводить номер, из такакса должно приходить
    
callback-dialstring = ""
    

    
В общем:
    
cisco:
    
service exec-callback (это нужно только в случае, если предполагается
    
использовать callback со скриптами.)
    
....
    
chat-script dial ABORT ERROR TIMEOUT 50 "" "AT" "OK" "ATD\T" "CONNECT"
    
....
    
interface group-async 1
    
 ppp authentication pap
    
 ppp callback accept
    
...
    
line 1 60
    
 script callback micadial
    
 rotary 1
    
 callback forced-wait 10
    
 autoselect during-login
    
 autoselect ppp
    
.....
    

    
В такаксе:
    
group = callback {
    
.....
    
service ppp protocol = lcp {
    
                callback-dialstring = ""
    
                callback-rotary = 1
    
                nocallback-verify = 1
    

    
}
    

    
}
    

    
user ..... {
    
member = callback service = exec {
    
.....
    
callback-dialstring = "" nocallback-verify = 1 callback-rotary = 1
    
}
    
}
    

    
Мастдайка сама ВСЕГДА запрашивает callback по cbcp при любом звонке с нее. Если ей не
    
отказывают, то оно запрашивает номер телефона. Для HТ надо это все указать в
    
явном виде.
    

    
>A: (Andy Igoshin)
    

    
ftp://ftp.vsu.ru/pub/hardware/cisco/callback
    

    
1.13>Q: Как связать две Киски по Е1?
    

    
>A: (Gosha Zafievsky), прислал (Oleh Hrynchuk)
    

    
    Конфиг пpимеpно следующий (одинаковый в случае 5300 & 3600):
    

    
controller E1 ZZZ
    
    linecode hdb3  |
    
    framing CRC4   | Эти два паpаметpа зависят от каналообp. обоpудования
    
    clock source line primary | Hа 3600 есть только в 12.0
    
    channel-group 1 timeslots 1-31
    

    
interface serialZZZ:1
    
    encapsulation hdlc
    
    ip address a.b.c.d x.y.z.t
    

    
ip route 0.0.0.0 0.0.0.0 serialZZZ:1
    

    
    Что подставляется вместо ZZZ зависит от конкpетной железки...
    

    
1.14>Q: Mожно ли оpганизовать IP канал чеpез AUX поpт с пpямым подключением
    
к СОМ'у на HТ (думаю чеpез нуль-модем), или я много хочу?
    

    
>A: (??), прислал (Oleh Hrynchuk)
    

    
Нет проблем. Недавно самому понадобилось - у cisco3640 не было Ethernet.
    
Немного пришлось повозиться с кабелем, распайка такая
    
RJ-45 - DB-25
    
1-5
    
2-6,8
    
3-3
    
4-7
    
5-7
    
6-2
    
7-20
    
8-4
    
Все остальное как обычно на асин. порту.
    

    
[13.06.2000] 1.14>Q: Как лучше настроить модем на async порту ?
    

    
>A: (Mathey M. Teplov)
    

    
Я, например, да и многие вообще советуют сделать так:
    
1) убиваешь modem autoconfigure путем прописывания no modem autoconfigure
    
2) инициализируешь линию, как 115200 8,n,1
    
!
    
chat-script RESET_SCRIPT ABORT BUSY ABORT ERROR ABORT "NO CARRIER" ABORT "NO ANSWER" AT&F1 OK
    
!
    
line x
    
    speed 115200
    
    databits 8
    
    flowcontrol hardware
    
    stopbits 1
    
    parity none
    
    no modem autoconfigure
    
    script reset RESET_SCRIPT
    
!
    
и после этого жестко прописываешь в F1 профиль в Courier следующее:
    
&A3&B1&C1&D2&G2&H1&I0&K1&L0&M4&N0&P1&R2&S0&T5&X0&Y0%N6
    

    
и выставляешь на нем джампера дабы он грузился из F1.
    

    
Проверено на горьком опыте.
    

    
[05.09.2000] 1.15>Q: Callback на линух
    

    
>A: (Eugene Crosser)
    

    
http://www.tartu.customs.ee/linux/callback.shtml
    

    
Я сам не проверял.  Hа мой вкус скрипт кривой, но идея ясна.
    

    
===========================================================
    

    http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/dial_c/dcpt.htm
    

    
[05.09.2000] 3.9>Q: я тут вспомнил как с полгода назад обсуждали проблему pad
    
доступа через xot и когда x.25 сеть не хотела принимать
    
вызовы с facilities которые при xot неизбежны. еще актуально?
    
могу дать рецепт. но он требует 12.1 ;) (как я помню в
    
дискуссии был еще и annex-g? тогда 12.1 быть должен)
    

    
>A: (john gladkih)
    

    
ok. рутер с annex-g, он же локальный x25 switch:
    

    
service pad to-xot
    
service pad from-xot
    
service tcp-keepalives-in
    
service tcp-keepalives-out
    
!
    
frame-relay switching
    
!
    
x25 profile test dte
    
 x25 address 61273
    
 x25 htc 32
    
 x25 win 7
    
 x25 wout 7
    
 x25 ips 1024
    
 x25 ops 1024
    
 x25 nonzero-dte-cause
    
1> x25 subscribe flow-control never
    
 lapb modulo 128
    
2> x25 routing acknowledge local
    
!
    
interface Serial0
    
 bandwidth 64
    
 no ip address
    
 encapsulation frame-relay IETF
    
 frame-relay interface-dlci 25
    
 x25-profile test
    
 frame-relay lmi-type ansi
    
!
    
x25 route ^6127305 xot 10.10.0.21 xot-keepalive-period 10
    
3> x25 route .* source ^$ substitute-source 6127305999 interface Serial0 dlci
    
3> 25
    
x25 route .* interface Serial0 dlci 25
    

    
1> отключение согласования flow-control на интерфейсе для
    
вызовов.
    

    
2> разрешить локальную пересборку пакетов.
    

    
3> pad call через xot приходит c пустым src address и мы src
    
тут подменяем на 6127305999
    

    
с другой стороны xot ничего особенного:
    

    
x25 route ^612.* xot 10.10.0.118 xot-keepalive-period 10
    

    
xot-keepalive-period тут чисто для проформы.
    

    
===========================================================
    

    4. ACL

    
===========================================================
    

    
4.1>Q: Рекомендации по access-lists для защиты от атак из интернета.
    

    
Некоторые рекомендации и соображения.
    
aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска.
    
wba.wbb.wbc.wbd - wildcard bits
    

    
Внимание !!! в access-list используется не netmask, а wildcard bits.
    
Есть жуткая формула, но я предпочитаю пользоватся такой -
    

    
WB=255-NM
    
таким образом, если netmask 255.255.255.0 в access-list
    
пишется 0.0.0.255
    

    
! deny all RFC1597 & default
    
no access-list 101
    
access-list 101 deny ip host 0.0.0.0 any
    
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
    
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
    
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
    
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
    
! deny ip spoofing
    
access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
    
! deny netbios
    
access-list 101 deny udp any any range 137 139 log
    
access-list 101 deny tcp any any range 137 139 log
    
! deny Back-Orifice
    
access-list 101 deny udp any any eq 31337 log
    
! deny telnet
    
access-list 101 deny tcp any any eq telnet log
    
! deny unix r-commands and printer, NFS, X11, syslog. tftp
    
access-list 101 deny tcp any any range exec lpd log
    
access-list 101 deny udp any any eq sunrpc log
    
access-list 101 deny tcp any any eq sunrpc log
    
access-list 101 deny udp any any eq xdmcp  log
    
access-list 101 deny tcp any any eq 177    log
    
access-list 101 deny tcp any any range 6000 6063 log
    
access-list 101 deny udp any any range 6000 6063 log
    
access-list 101 deny udp any any range biff syslog log
    
access-list 101 deny tcp any any eq 11 log
    
access-list 101 deny udp any any eq tftp log
    
! permit all
    
access-list 101 permit ip any any
    
no access-list 102
    
access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
    
access-list 102 deny ip any any
    
int XXX
    
ip access-group 101 in
    
ip access-group 102 out
    

    
4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для
    
доступа извне во внутреннюю сеть все порты - оставить только
    
возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен.
    

    
>A: (Alex Bakhtin)
    

    
Итак. Есть две стратегии по установке аксесс-листов:
    
1. Закрыть все опасное, открыть все остальное.
    
2. Открыть все нужное, закрыть все остальное.
    

    
 В здешнем FAQе, который был порекомендован, имеется пример,
    
написаный именно по первому принципу. Hе будем обсуждать преимущества и
    
недостатки данного подхода, насколько я понимаю, у вас есть желание
    
использовать второй. Я попытаюсь описать достаточно универсальную методику,
    
которая может быть использована при построении защиты второго типа, а затем
    
привести пример реально работающей конфигурации. Сразу хочу сказать, что
    
все ниженаписаное - это чисто мое IMHO. Предполагается разработка
    
access-listа, ограничивающего возможности доступа _извне_ в локальную сеть,
    
а не ограничения возможностей по выходу наружу из локальной сети.
    

    
 Итак.
    
 Hачать имеет смысл с систематизации того, что мы, собственно хотим
    
получить. Для этого предлагаю выстроить следующую таблицу:
    
            !    !    !   !     !
    
            !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы
    
            !    !    !   !     !доступ к которым мы хотим предоставить
    
            !    !    !   !     !пользователям "извне"
    
------------!----!----!---!-----!----------------------------------------
    
www.qq.ru   ! X  !    !   !     !
    
relay.qq.ru !    !  X !   !     !
    
ftp.qq.ru   !    !    ! X !     !
    
any         !    !    !   !  X  !
    
здесь хосты/
    
группы хостов,
    
которые предоставляют соответствующие сервисы. Порядок расположения хостов
    
в таблице важен. Есть два правила:
    
a. Общие определения необходимо располагать как можно ниже. То есть host
    
   10.0.1.1/32 должен быть расположен _выше_ чем subnet
    
   10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то
    
   типа any.
    
b. В случае, если по правилу a. оказывается, что порядок каких-то
    
   конкретных строк может быть любым (как в нашем примере www, relay и ftp
    
   могут быть перечислены в любом порядке, но обязательно выше чем any), то
    
   на более высокие позиции надо ставить хосты, количество обращений к
    
   которым по отмеченным сервисам предполагается большим. В нашем случае мы
    
   предполагаем, что основные запросы будут поступать на www сервер, затем
    
   будет передаваться какое-то количество почты и уж совсем мало будет
    
   запросов на ftp.
    

    
 После составления, проверки и, по возможности, оптимизации такой
    
таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно
    
переходить собственно к написанию первой версии access-listа. Первая версия
    
будет практически калькой нашей таблицы.
    

    
ip access-list extended Firewall
    
  permit tcp any host www.qq.ru     eq www
    
  permit tcp any host relay.qq.ru   eq smtp
    
  permit tcp any host ftp.qq.ru     eq ftp
    
  permit tcp any any                eq 24554
    

    
 Последняя строка по умолчанию принимается за deny ip any
    
any. Фактически, построение первой версии access-listа закончено. Что мы
    
делаем, чтобы продолжать развивать этот access-list? В конец листа мы
    
добавляем одну строчку
    
 deny ip any any log
    
которая не только запретит весь остальной трафик, что было сделано
    
по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о
    
пакетах, попадающих под это правило. И далее, в зависимости от того, какие
    
сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут
    
сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры
    
сообщений:
    
%SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) ->
    
  %xxx.xxx.xxx.xx(23), 1 packet
    
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) ->
    
  %xxx.xxx.xxx.xx(1038), 1 packet
    
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
    
  %xxx.xxx.xxx.xx(1041), 1 packet
    
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->