forum.opennet.ru

Составление сообщения

Исходное сообщение

"Access-list или куда поставить In и out?"
Отправлено momo, 28-Янв-08 13:56

interface FastEthernet0/0
ip address 192.168.10.182 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map 200
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description Comstar
ip address xxxx.95.5 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/3/0
switchport access vlan 2
!
interface FastEthernet0/3/1
switchport access vlan 3
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
shutdown
!
interface Vlan2
description DMZ
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
ip route 0.0.0.0 0.0.0.0 xxxx.95.1
!
!
no ip http server
no ip http secure-server
ip nat pool Comstar xxxx.95.0 xxxx.95.255 netmask 255.255.255.0
ip nat inside source list 1 pool Comstar overload
!
ip access-list extended Comstar
permit icmp any host xxxx.95.5
permit gre any host xxxx.95.5
permit tcp any xxxx.95.0 0.0.0.255 eq www
permit tcp any xxxx.95.0 0.0.0.255 eq smtp
permit tcp any xxxx.95.0 0.0.0.255 eq pop3
permit udp any xxxx.95.0 0.0.0.255 eq ntp
permit tcp any xxxx.95.0 0.0.0.255 eq domain
permit udp any xxxx.95.0 0.0.0.255 eq domain
deny ip any any log
ip access-list extended Local_to_Comstar
permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 192.168.10.0 0.0.0.255 any
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq smtp
permit tcp 192.168.10.0 0.0.0.255 any eq pop3
permit tcp 192.168.10.0 0.0.0.255 any eq domain
permit udp 192.168.10.0 0.0.0.255 any eq domain
permit tcp 192.168.10.0 0.0.0.255 any eq 5190
permit tcp 192.168.10.0 0.0.0.255 any eq 4430
permit tcp 192.168.10.0 0.0.0.255 any eq 443
permit tcp 192.168.10.0 0.0.0.255 any eq ftp
deny ip any any log
!
access-list 1 permit 192.168.10.0 0.0.0.255

В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил.
Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то фильтрация исходящих пакетов происходит нормуль....
ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть быть и что в спсики доступа нужно добавить чтобы все правила заработали???
в этом деле не давно совсем, поэтому всем заранее спасибо!

Исходное сообщение
"Access-list или куда поставить In и out?" Отправлено momo, 28-Янв-08 13:56
interface FastEthernet0/0 ip address 192.168.10.182 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map 200 speed auto full-duplex no mop enabled ! interface FastEthernet0/1 description Comstar ip address xxxx.95.5 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/3/0 switchport access vlan 2 ! interface FastEthernet0/3/1 switchport access vlan 3 ! interface FastEthernet0/3/2 shutdown ! interface FastEthernet0/3/3 shutdown ! interface Vlan2 description DMZ ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ! ip route 0.0.0.0 0.0.0.0 xxxx.95.1 ! ! no ip http server no ip http secure-server ip nat pool Comstar xxxx.95.0 xxxx.95.255 netmask 255.255.255.0 ip nat inside source list 1 pool Comstar overload ! ip access-list extended Comstar permit icmp any host xxxx.95.5 permit gre any host xxxx.95.5 permit tcp any xxxx.95.0 0.0.0.255 eq www permit tcp any xxxx.95.0 0.0.0.255 eq smtp permit tcp any xxxx.95.0 0.0.0.255 eq pop3 permit udp any xxxx.95.0 0.0.0.255 eq ntp permit tcp any xxxx.95.0 0.0.0.255 eq domain permit udp any xxxx.95.0 0.0.0.255 eq domain deny ip any any log ip access-list extended Local_to_Comstar permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 permit icmp 192.168.10.0 0.0.0.255 any permit tcp 192.168.10.0 0.0.0.255 any eq www permit tcp 192.168.10.0 0.0.0.255 any eq smtp permit tcp 192.168.10.0 0.0.0.255 any eq pop3 permit tcp 192.168.10.0 0.0.0.255 any eq domain permit udp 192.168.10.0 0.0.0.255 any eq domain permit tcp 192.168.10.0 0.0.0.255 any eq 5190 permit tcp 192.168.10.0 0.0.0.255 any eq 4430 permit tcp 192.168.10.0 0.0.0.255 any eq 443 permit tcp 192.168.10.0 0.0.0.255 any eq ftp deny ip any any log ! access-list 1 permit 192.168.10.0 0.0.0.255 В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил. Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то фильтрация исходящих пакетов происходит нормуль.... ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть быть и что в спсики доступа нужно добавить чтобы все правила заработали??? в этом деле не давно совсем, поэтому всем заранее спасибо!

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру