Правила фаерволинга для cisco

[kilot]

Задаю эти вопросы потому что в Russian_1_10.pdf ответы не прозрачны, а совет читать весь форум от корки до корки воспринимаю как издевательство надо мной, как клиентом.

1. В соответствующей главе описана установка access-list для cisco. Предполагается что будет даваться две команды для 105 и 106 акесс-листов. Вопрос -- есть какой-то разделитель, позволяющий в одной строке таблицы ввести две команды или мне следует вбить две записи в таблицу.

2. Если записи две, то для 30 абонентов (реальная цифра, причем, ip-шников еще свободных столько-же) мне следует ввести 60 строк одного и того-же, ни разу не ошибившись? Мне, наверное, заняться больше нечем на работе.
Если-же галочка "Все пользователи" означает "шаблон для включения-выключения любого пользователя", то так и следовало написать. Описание очень уж многозначное.

3. Один из абонентов ради "погнуть пальцы", купил два ip. При включении-выключении его, как будут выполняться правила? То есть, будет два вызова правил, по одному на каждый ip, как положено или у меня паранойя?

[mva]

1. Две строки, одна на вкл. другая выкл.

2. Хоть 1000..., адреса автоматом берутся из услуг клиента.

3. На каждый адрес будет послана отдельная команда на сиську.

Особых проблем не наблюдаю у себя, 1500 клиентов, и всего две строки в правилах:

1. access-template 105 utm1 host UIP any
clear access-template 105 utm1 host UIP any

2. access-template 106 utm1 host UIP any
clear access-template 106 utm1 host UIP any

UIP - берется автоматом из услуги в поле IP

[kilot]

Большое спасибо за ответ.
Что у вас написано в полях "Все пользователи", "ID пользователя", "ID группы" и "ID тарифа" ? Как вы догадались что следует писать именно так?

[mva]

0, 0, ID группы, 0

[kilot]

Еще раз сенкс.
А-то по инструкции написано так, будто правило с "ID группы", отличной от нуля, выполняется при запуске команды, отрубающей инет всей группе сразу. Неоднозначно все как-то.

[CrazyOF]

Особых проблем не наблюдаю у себя, 1500 клиентов, и всего две строки в правилах:

Хм... а при перезагрузке сиськи как ведет себя
utm5_rfw -f ?
Моя as5350 затыкается от того что ей вкрячивается сразу толпа правил, не по очереди как можно было ожидать - а сразу. В результате К дефолтному line vty 0 4 пришлось добавить line vty 5 100.
Циска вроде перестала ругаться, так utm5_rfw выдает следующие перлы:

?Debug : Apr 03 14:25:59 RFW URFA[plugin]: Got 'exec' command...
rsh: fork: Resource temporarily unavailable.
rsh: fork: Resource temporarily unavailable.
rsh: fork: Resource temporarily unavailable.
rsh: fork: Resource temporarily unavailable.
rsh: fork: Resource temporarily unavailable.
rsh: fork: Resource temporarily unavailable.

Соответственно не исполняя правила попавшие под этот косяк....

Может будут какие мысли на этот счет?

[mva]

У меня 7507 RSP4/256 справляется я ее по полгода не перегружаю...