Добрый день всем!
Возникла необходимость запретить одной подсети (172.16.3.0/24) устанавлить TCP/IP соединения с другой сетью (192.168.0.0/16) однако сеть 192.168.0.0/16 может быть инициатором соединения с сетью 172.16.3.0/24. По пытался сделать правила вот что у меня получилось
!
interface Ethernet1/0
ip address 172.16.3.1 255.255.255.0
ip access-group 113 in
ip nat inside
full-duplex
no cdp enable
!
access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit ip 172.16.3.0 0.0.0.255 any
после чего например делаю из сети 192.168.0.0/16 telnet 172.16.3.3 25 и все умирет по таймауту. Подскажите что я не так делаю?
>все умирет по таймауту. Подскажите что я не так делаю?Попробуй добавить: access-list 113 permit tcp any any established
>
>>все умирет по таймауту. Подскажите что я не так делаю?
>
>Попробуй добавить: access-list 113 permit tcp any any establishedИ access-list 113 permit ip any any.
>>
>>>все умирет по таймауту. Подскажите что я не так делаю?
>>
>>Попробуй добавить: access-list 113 permit tcp any any established
>
>И access-list 113 permit ip any any.
!
interface Ethernet1/0
ip address 172.16.3.1 255.255.255.0
ip access-group 113 in
ip nat inside
full-duplex
no cdp enable
!
access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit tcp any any established
access-list 113 permit ip any anyТот же результат, telnet 172.16.3.3 25 и по таймаууту все отваливается. :-\
no access-list 113
access-list 113 permit tcp any any established
access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack
access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit ip any any
Спасибо большое заработало, только не совсем так как вы прислали. В вашем варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать вот так:
access-list 113 permit tcp any any established
access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn
access-list 113 permit ip any any
При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть 172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось. Еще раз всем спасибо!
>no access-list 113
>access-list 113 permit tcp any any established
>access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack
>access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
>access-list 113 permit ip any any
>Спасибо большое заработало, только не совсем так как вы прислали. В вашем
>варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать
>вот так:
>access-list 113 permit tcp any any established
>access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
>access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn
>access-list 113 permit ip any any
>При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть
>172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось.
>Еще раз всем спасибо!
Попутно есть такой вопрос к специалистам: что подразумевает под собой established. Я всегда предполагал, что подразумевает то, что отбрасываться будут только пакеты с установленным SYN флагом, остальные пропускаться. Тогда вместо трех строчек должно было бы хватить одной:
access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 established
При случае постараюсь проверить на практике, но может кто ответит на вопрос?
Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом из их заголовков будет установлен флажок syn.
>Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом
>из их заголовков будет установлен флажок syn.Все ясно. Спасибо