>[оверквотинг удален]
>cisco(config-if)#ip access-group 100 in
>и на внешнем, с учетом вашей политики безопасности относительно доступа из вне:
>
>cisco(config)#access-list 110 permit udp host 83.242.140.10 eq domain host <IP на внешнем интерфейсе циски> eq domain
>cisco(config)#access-list 110 deny udp any eq domain any eq domain
>cisco(config)#access-list 110 permit ip any host <IP на внешнем интерфейсе циски>
>cisco(config-if)#ip access-group 110 in
>
>Ну и, соответственно, настройте внутренний ДНС таким образом, чтобы к нему из
>внутренней сети могли обращаться "правильные" пользователи. у меня используется технология ip inspect для открытия обратных портов на внешнем интерфейсе
ip inspect name IPFW dns
ip inspect name IPFW http
ip inspect name IPFW tcp
ip inspect name IPFW udp
ip inspect name IPFW icmp
ip inspect name IPFW ftp
согласно списку доступа наложенным на внешней интерфейс то днс из вне блокируется для всех адресов
ip access-list extended Comstar_2
permit icmp any host 1.1.1.1
permit tcp any host 1.1.1.1 eq smtp
permit udp any host 1.1.1.1 eq isakmp
permit udp any host 1.1.1.1 eq non500-isakmp
permit esp any host 1.1.1.1
а согласно списку доступа на внутреннем интерфейсе запросы из по 53 разрешены только с адреса 192.168.10.2 на днс прова 83.26.140.10
т.е стоит ли тогда выполнять вышестояшие команды если логика одна и таже?