форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Наложение Access-list"

Сообщение от momo (ok) on 14-Июл-08, 22:09

Вот конфиг interface FastEthernet0/0 description Local ip address 192.168.10.10 255.255.255.0 ip access-group Local_to_Comstar in ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description Comstar ip address 777.777.777.6 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet0/3/0 switchport access vlan 2 ! interface FastEthernet0/3/1 ! interface FastEthernet0/3/2 ! interface FastEthernet0/3/3 ! interface Vlan1 no ip address ! interface Vlan2 description DMZ ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 777.777.777.1 ! ! ip http server no ip http secure-server ip nat pool Comstar 777.777.777.9 777.777.777.9 netmask 255.255.255.252 ip nat inside source list 98 pool Comstar overload ip nat inside source list 99 pool Comstar overload ip nat inside source static tcp 192.168.0.2 25 777.777.777.5 25 extendable ! ip access-list extended Comstar permit tcp any any established permit icmp any host 777.777.777.9 ip access-list extended DMZ permit tcp 192.168.0.0 0.0.0.255 any eq domain permit udp 192.168.0.0 0.0.0.255 any eq domain permit tcp 192.168.0.0 0.0.0.255 any eq 5190 permit tcp 192.168.0.0 0.0.0.255 any eq 4430 permit tcp 192.168.0.0 0.0.0.255 any eq 443 permit tcp 192.168.0.0 0.0.0.255 any eq ftp permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255 permit tcp 192.168.0.0 0.0.0.255 any eq www permit tcp 192.168.0.0 0.0.0.255 any eq pop3 permit tcp 192.168.0.0 0.0.0.255 any eq smtp ip access-list extended Local_to_Comstar permit icmp 192.168.10.0 0.0.0.255 any permit tcp 192.168.10.0 0.0.0.255 any eq domain permit udp 192.168.10.0 0.0.0.255 any eq domain permit tcp 192.168.10.0 0.0.0.255 any eq smtp permit tcp 192.168.10.0 0.0.0.255 any eq pop3 permit ip host 192.168.10.183 any permit ip host 192.168.10.184 any permit ip host 192.168.10.185 any permit ip host 192.168.10.4 any permit ip host 192.168.10.187 any permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 ! access-list 98 permit 192.168.0.0 0.0.0.255 access-list 99 permit 192.168.10.0 0.0.0.255 Когда пытаюсь наложить список доступа Comstar in на внешний интрефейс f0/1(777.777.777.6 255.255.255.0),то сраже же пропадает доступ в инет......Это не понятно если учесть что в этом списке доступа есть стора типа permit tcp any any established, которая разрешает прохождение обратных пакетов от носящихся к протолу tcp. Знаю.что можно использовать ip inspect и к примеру разрешить доступ из вне во внутреннию сеть только,к примеру icmp, а ip inspect будкт сам резать весь траф из вне кроме инициализированного из внутренней сети. Но пока хотелось бы разобраться с этой проблемой, которая кажется на первый взгляд вроде простой но в тоже время пока не решенной для меня Всем спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Наложение Access-list"

Сообщение от CrAzOiD (ok) on 15-Июл-08, 01:36

>[оверквотинг удален] >established, которая разрешает прохождение обратных пакетов от носящихся к протолу tcp. >Знаю.что можно использовать ip inspect и к примеру разрешить доступ из >вне во внутреннию сеть только,к примеру icmp, а ip inspect будкт >сам резать весь траф из вне кроме инициализированного из внутренней сети. >Но пока хотелось бы разобраться с этой проблемой, которая кажется на >первый взгляд вроде простой но в тоже время пока не решенной >для меня > > >Всем спасибо! а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Наложение Access-list"
	Сообщение от momo (??) on 15-Июл-08, 10:12
	>[оверквотинг удален] >>сам резать весь траф из вне кроме инициализированного из внутренней сети. >>Но пока хотелось бы разобраться с этой проблемой, которая кажется на >>первый взгляд вроде простой но в тоже время пока не решенной >>для меня >> >> >>Всем спасибо! > >а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом? > пингом
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Наложение Access-list"
	Сообщение от CrAzOiD (ok) on 15-Июл-08, 14:04
	>[оверквотинг удален] >>>первый взгляд вроде простой но в тоже время пока не решенной >>>для меня >>> >>> >>>Всем спасибо! >> >>а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом? >> > >пингом думаю что вы сами уже все поняли инет у вас есть, пинга нет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Наложение Access-list"
	Сообщение от momo (ok) on 15-Июл-08, 10:13
	>[оверквотинг удален] >>сам резать весь траф из вне кроме инициализированного из внутренней сети. >>Но пока хотелось бы разобраться с этой проблемой, которая кажется на >>первый взгляд вроде простой но в тоже время пока не решенной >>для меня >> >> >>Всем спасибо! > >а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом? > Пингом
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Наложение Access-list"
	Сообщение от momo (ok) on 15-Июл-08, 10:23
	>[оверквотинг удален] >>сам резать весь траф из вне кроме инициализированного из внутренней сети. >>Но пока хотелось бы разобраться с этой проблемой, которая кажется на >>первый взгляд вроде простой но в тоже время пока не решенной >>для меня >> >> >>Всем спасибо! > >а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом? > пингом
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Наложение Access-list"
	Сообщение от enk on 15-Июл-08, 11:16
	А причем тут пинг и established? =) У вас в обратку ping не разрешен вроде. А правило для established-соединений, соответственно, для протока tcp.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Наложение Access-list"
	Сообщение от momo (ok) on 15-Июл-08, 21:43
	>А причем тут пинг и established? =) >У вас в обратку ping не разрешен вроде. А правило для established-соединений, >соответственно, для протока tcp. так не прходят как и пинги так и пакеты по 80 порту........и это только после наложения вышеупомянутого списка доступа на внешний интрефейс
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Наложение Access-list"
	Сообщение от enk on 16-Июл-08, 13:09
	>ip access-group Local_to_Comstar in А это что? Можно подробности?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Наложение Access-list"
	Сообщение от enk on 16-Июл-08, 13:44
	Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас 6, в ACL 9...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Наложение Access-list"
	Сообщение от momo (??) on 16-Июл-08, 14:13
	>Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас >6, в ACL 9... насчет адресов,то ошибки никакой нет.......поясните это имеет какое либо значение?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Наложение Access-list"
	Сообщение от momo (ok) on 17-Июл-08, 21:05
	>>Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас >>6, в ACL 9... > >насчет адресов,то ошибки никакой нет.......поясните это имеет какое либо значение? так что насчет адресов а то что то не понятно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]