форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Cicso 2801 ACL"	+/–
Сообщение от xservices (ok) on 11-Окт-10, 02:30
Есть циска 2801. Требуется простое На входящие обрубать все кроме 21,22,2020,80,110,25,3306 ну и кроме за 1024. Попробовал написать вот так ip access-group 101 in access-list 101 permit tcp any any established access-list 101 permit icmp any any access-list 101 permit udp any any eq 53 access-list 101 permit tcp any any eq 53 access-list 101 permit tcp any host 192.168.20.4 eq 21 access-list 101 permit tcp any host 192.168.20.4 eq 20 access-list 101 permit tcp any host 192.168.20.4 eq 80 access-list 101 permit tcp any host 192.168.20.4 eq 2020 access-list 101 permit tcp any host 192.168.20.5 eq 110 access-list 101 permit tcp any host 192.168.20.5 eq 25 access-list 101 permit tcp any host 192.168.20.6 eq 3306 access-list 101 permit tcp any any range 1024 6000 access-list 101 permit udp any any range 1024 6000 access-list 101 deny ip any any log Вопросы. Когда написал такое правило на 20.0/24 серверах пропала возможность резолвить ип. ping ya.ru и пишет что не могу отрезольвить. И второе по access-list 101 permit tcp any any range 1024 6000 access-list 101 permit udp any any range 1024 6000 какой диапазон указывать что работали нормально службы. Как известно мне что порт 80 отвечает на другие порты. Или это уже входит в established? Помогите советом, новичок немного туплю.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cicso 2801 ACL"	+/–
Сообщение от xservices (ok) on 11-Окт-10, 03:51
Изменил вот так access-list 101 permit tcp any any established access-list 101 permit icmp any any access-list 101 permit udp any any eq 53 access-list 101 permit tcp any any eq 53 access-list 101 permit ip host 8.8.4.4 any access-list 101 permit tcp any any gt 1024 access-list 101 permit tcp any host 192.168.20.4 eq 21 access-list 101 permit tcp any host 192.168.20.4 eq 20 access-list 101 permit tcp any host 192.168.20.4 eq 80 access-list 101 permit tcp any host 192.168.20.4 eq 2020 access-list 101 permit tcp any host 192.168.20.5 eq 110 access-list 101 permit tcp any host 192.168.20.5 eq 25 access-list 101 permit tcp any host 192.168.20.6 eq 3306 access-list 101 deny ip any any log Интересует access-list 101 permit tcp any any gt 1024 Как сделать ее именно на мой 21 порт?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Cicso 2801 ACL"	+/–
	Сообщение от shadow_alone (ok) on 11-Окт-10, 04:29
	> access-list 101 permit ip host 8.8.4.4 any поменяйте на access-list 101 permit udp any eq 53 any > Интересует > access-list 101 permit tcp any any gt 1024 > Как сделать ее именно на мой 21 порт? Вот здесь непонятно что хотите. вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно их открыть.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Cicso 2801 ACL"	+/–
	Сообщение от xservices (ok) on 11-Окт-10, 05:31
	>> access-list 101 permit ip host 8.8.4.4 any > поменяйте на > access-list 101 permit udp any eq 53 any >> Интересует >> access-list 101 permit tcp any any gt 1024 >> Как сделать ее именно на мой 21 порт? > Вот здесь непонятно что хотите. > вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно > их открыть. Спасибо все заработало. по фтр как посоветовали открыл диапазон 5000 5500
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема