在鱿鱼我需要在一行结合acl条件: 例如 acl allowed_conn src 10.40.50.5 && dstdomain intranet.loc acl allowed_conn src 10.40.50.6 && dstdomain anothersite.net 我知道我可以改为像这样定义两个: acl allow_src src 10.40.50.5 acl allow_domain intranet.loc 然后我可以这样做: http_access allow allow_src allow_domain 但是这样我将需要为不同的acl组合创build新的http_access行。 我想有一个像这样的http_access行: http_access allow allowed_conn
我几乎是积极的,这是一个缺less关键组件或没有正确声明/应用ACL的问题,但我无法自己弄清楚这个问题。 我想要做的只是让PC2发送任何stream量到PC3和PC1。 基本上PC4应该是PC2无法访问的。 由于我无法发布图像,我将尝试解释非常简单的拓扑结构。 PC1和PC2在SWITCH1的后面,SWITCH1在端口f0 / 1上连接到ROUTER0。 在左侧,PC3和PC4在SWITCH2的后面,而SWITCH2在端口f0 / 0上连接到ROUTER0。 IP如下: PC1 11.0.0.2/8&连接到SWITCH1上的f0 / 1 PC2 11.0.0.3/8&连接到SWITCH1上的f0 / 2 PC3 10.0.0.2/8&连接到SWITCH2上的f0 / 1 PC4 10.0.0.3/8&连接到SWITCH2上的f0 / 2 ROUTER0 f0 / 0 10.0.0.1/8&连接到SWITCH2上的f0 / 24 ROUTER0 f0 / 1 10.0.0.2/8&连接到SWITCH1上的f0 / 24 现在存在的ACL如下所示: ip access-list extended NSL1 permit ip host 11.0.0.3 host 10.0.0.2 问题是拓扑(PC1&2)左侧的设备在能够实施ACL之前,不能再ping 11.0.0.1或10.0.0.1。 它给“目的地主机无法访问”。 […]
我们正在为外部客户端设置stream媒体服务,他们需要访问内部工作站以及防火墙上打开的某些端口。 我需要在PIX 506上configuration两个公共IP地址以映射到两个内部专用地址。 我的理解最多也就是说,506只有一个外部接口,而且已经被分配了一个公共地址。 思科不再支持我们的PIX,所以我无法使用我们的Smartnet合同获得有关此configuration的帮助。 虽然我们确实有其他几个设备与他们合同,他们不是506,他们不会帮助我们的configuration。 我有我需要打开的端口,我想我知道如何编写访问列表,让他们通过(一个例子): access-list outside_access_in permit tcp any host <IP address> eq 389 static (inside,outside) tcp <IP address> 1718 172.16.4.211 389 netmask 255.255.255.255 0 0 我的问题。 我只是添加我想分配在IP地址字段,每个地址和协议的公共IP地址,还是我需要做别的事情,或者我不能做我想做的事情? 请让我知道,如果我需要提供任何其他configuration。 问候。
我在我的DMZ中有一个Web服务器( 193.170.4.2 ),需要通过SMTP在内部与我们的Exchange服务器( 10.77.51.87 )进行通信。 我用access-list acl-dmz permit tcp host 193.170.4.2 host 10.77.51.87 eq smtp ,但是没有工作。 是因为acl-outbound或nat ACL中的拒绝ip线? 如果没有,任何人都可以看到可能是什么原因造成的? 我的configuration如下: PIX_6.3(5)_515# access-group acl-inbound in interface outside access-group acl-outbound in interface inside access-group acl-dmz in interface dmz1 PIX_6.3(5)_515# PIX_6.3(5)_515# sh access-list acl-outbound | in deny access-list acl-outbound line 86 deny ip 10.0.0.0 255.0.0.0 193.170.4.0 255.255.255.0 (hitcnt=1209) […]
我将/etc/apache2/envvars的APACHE_RUN_GROUP改为 APACHE_RUN_GROUP=web-content 因为我想让Apache运行www-data:web-content ,插入www-data:www-data 。 我讨厌单调的手动hack,如chown -R www-data:web-content 。 在#Debian中, c.*9同志build议在这里使用ACL,而其他同志H提出了一些传统的方法,而其他同志PPbuild议将www-data添加到组web-content (但是在这个例子中由于某些原因,Apache没有运行,尽pipe/etc/init.d/apache2 restart所以'ps –group web-content' output here )。 现在假设一个更通用的情况,不一定是Apache。 加载的问题 我怎样才能确保一个程序运行为www-data:web-content ? 我如何确保程序生成的所有文件和目录都是www-data:web-content而不是www-data:www-data ? 我如何确保像Apache这样的程序运行为www-data:web-content ?
我正在使用基于cygwin的SSHD服务器,我想禁用/ cygdrive / c和/ cygdrive / dpath; 这可能吗? 使用NTFS ACL来达到这个目的将是一团糟,因为用户需要使用SSH守护进程访问驱动器,所以我不能在驱动器级别阻止访问,但需要单独调整很多文件夹。
我在转发Cisco Catalyst 4500交换机访问列表后面的子网中的DHCP时遇到了一些麻烦。 我希望有人能看到我犯的错误。 子网是这样定义的:(前三个IP地址和vrf名称的八位字节是匿名的) interface Vlan40 ip vrf forwarding vrf_name ip address 10.10.10.126 255.255.255.0 secondary ip address 10.10.10.254 255.255.255.0 ip access-group 100 out ip helper-address 10.10.20.36 no ip redirects 我尝试打开configuration为使用DHCP的子网上的VMWare机器,但是我从来没有收到DHCP响应,DHCP服务器也没有收到请求。 我试图把以下内容放在访问列表中: access-list 100 permit udp host 10.10.10.254 host 10.10.20.36 eq bootps access-list 100 permit udp host 10.10.10.254 host 10.10.20.36 eq bootpc access-list 100 permit […]
networking:Cisco 2921.两个子网。 192.168.1.0/24和2.0 / 24。 出于某种原因,我无法获得子网间通信。 我使用以下语句将ACL绑定到每个子网的入站接口。 在Gi0 / 0(1.0 / 24)上,我将“access-list 101 permit ip 192.168.2.0 0.0.0.255 any”应用到入站接口。 在Gi0 / 1(2.0 / 24)上,我将“access-list 102 permit ip 192.168.1.0 0.0.0.255 any”应用于入站接口。 当我这样做,DHCP停止工作,因为有时互联网,所以我删除了他们。 我在分组跟踪器中做到了这一点,它工作100%。 为什么它不能在真正的路由器上工作? 运行configuration: Current configuration : 2608 bytes ! ! Last configuration change at 15:22:51 UTC Mon Feb 18 2013 ! NVRAM config last updated […]
我想添加一个描述到思科ACL。 就像是: 允许从研发部门到实验室的所有stream量。 要么 拒绝从医pipe局到研发部门的stream量。 可能吗?
我正在使用FirePOWER实施Cisco ASA 5512-X设备来取代WatchGuard防火墙。 目前正在使用的WatchGuard设备正在使用名为“WatchGuard身份validation”的WatchGuarddynamic访问列表function来封装各种服务。 WG Auth通过用户身份validation到防火墙托pipe的HTTPSlogin表单,然后打开对其所保护的服务的访问权限(例如,如果源IP未经WGauthentication,访问其所保护的服务将丢失连接尝试)。 不用说,对于那些需要访问(希望encryption的)服务的dynamic公共地址的家庭用户来说,这是非常有用的。 那么对于我的问题…思科ASA 5512-X中是否有与此function相同的function? 我对ASA平台相当陌生,从我的研究来看,唯一能find的就是VPN服务(AnyConnect)。 我宁愿select不需要源安装任何VPN客户端软件(但将接受,如果它是唯一的select)。