URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12485
[ Назад ]

Исходное сообщение
"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 16-Янв-07 08:48

Добрый день!
настроил PAT
ip nat inside source list 1 interface Serial0/0.1 overload
для выхода с внутр сети наружу через внешний Serial0/0.1
и хочу обрезать доступ только по www
permit tcp host 212.154.163.2 any eq www
но инет перестает работать если убераю:
no permit ip any host Serial0/0.1
при PATе этого невозможно добиться???

Содержание

как закрыть PAT,чтобы работал только по www,Изгой, 09:02 , 16-Янв-07
- как закрыть PAT,чтобы работал только по www,erjan, 11:52 , 16-Янв-07
  - как закрыть PAT,чтобы работал только по www,asavenkov, 12:16 , 16-Янв-07
    - как закрыть PAT,чтобы работал только по www,erjan, 13:25 , 16-Янв-07
      - как закрыть PAT,чтобы работал только по www,asavenkov, 16:12 , 16-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 05:58 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,Изгой, 09:40 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 14:11 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,asavenkov, 12:13 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 14:06 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,asavenkov, 17:18 , 17-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 07:00 , 18-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 07:03 , 18-Янв-07
        
        как закрыть PAT,чтобы работал только по www,erjan, 12:36 , 18-Янв-07

Сообщения в этом обсуждении

"как закрыть PAT,чтобы работал только по www"
Отправлено Изгой , 16-Янв-07 09:02

>Добрый день!
>настроил PAT
>ip nat inside source list 1 interface Serial0/0.1 overload
>для выхода с внутр сети наружу через внешний Serial0/0.1
>и хочу обрезать доступ только по www
>permit tcp host 212.154.163.2 any eq www
>
>но инет перестает работать если убераю:
>no permit ip any host Serial0/0.1
>
>при PATе этого невозможно добиться???
Ну наверно надо прописать в акцесс листе для пата
permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg www
но так вы порежите dns - но если работать через внешний проксик то прокатит.

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 16-Янв-07 11:52

>>Добрый день!
>>настроил PAT
>>ip nat inside source list 1 interface Serial0/0.1 overload
>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>и хочу обрезать доступ только по www
>>permit tcp host 212.154.163.2 any eq www
>>
>>но инет перестает работать если убераю:
>>no permit ip any host Serial0/0.1
>>
>>при PATе этого невозможно добиться???
>
>Ну наверно надо прописать в акцесс листе для пата
>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>www
>но так вы порежите dns - но если работать через внешний проксик
>то прокатит.
но мне надо чтобы на 212.154.163.2
снаружи был доступ только с определенных сетей
например с 209.7.0.0 0.0.255.255
а для других был закрыт доступ?
это возможно сделать?

"как закрыть PAT,чтобы работал только по www"
Отправлено asavenkov , 16-Янв-07 12:16

>>>Добрый день!
>>>настроил PAT
>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>и хочу обрезать доступ только по www
>>>permit tcp host 212.154.163.2 any eq www
>>>
>>>но инет перестает работать если убераю:
>>>no permit ip any host Serial0/0.1
>>>
>>>при PATе этого невозможно добиться???
>>
>>Ну наверно надо прописать в акцесс листе для пата
>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>www
>>но так вы порежите dns - но если работать через внешний проксик
>>то прокатит.
>
>но мне надо чтобы на 212.154.163.2
>снаружи был доступ только с определенных сетей
>например с 209.7.0.0 0.0.255.255
>а для других был закрыт доступ?
>это возможно сделать?
ACL на интерфейсе

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 16-Янв-07 13:25

>>>>Добрый день!
>>>>настроил PAT
>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>и хочу обрезать доступ только по www
>>>>permit tcp host 212.154.163.2 any eq www
>>>>
>>>>но инет перестает работать если убераю:
>>>>no permit ip any host Serial0/0.1
>>>>
>>>>при PATе этого невозможно добиться???
>>>
>>>Ну наверно надо прописать в акцесс листе для пата
>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>www
>>>но так вы порежите dns - но если работать через внешний проксик
>>>то прокатит.
>>
>>но мне надо чтобы на 212.154.163.2
>>снаружи был доступ только с определенных сетей
>>например с 209.7.0.0 0.0.255.255
>>а для других был закрыт доступ?
>>это возможно сделать?
>
>ACL на интерфейсе
-на интерфейсе есть АКЛ но он не работает,по нему только icq идет и инет рубиться...
permit tcp any host 212.154.163.2 eq www
только с таким АКЛ проходит
permit ip any host 212.154.163.2
но он открывает все...

"как закрыть PAT,чтобы работал только по www"
Отправлено asavenkov , 16-Янв-07 16:12

>>>>>Добрый день!
>>>>>настроил PAT
>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>и хочу обрезать доступ только по www
>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>
>>>>>но инет перестает работать если убераю:
>>>>>no permit ip any host Serial0/0.1
>>>>>
>>>>>при PATе этого невозможно добиться???
>>>>
>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>www
>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>то прокатит.
>>>
>>>но мне надо чтобы на 212.154.163.2
>>>снаружи был доступ только с определенных сетей
>>>например с 209.7.0.0 0.0.255.255
>>>а для других был закрыт доступ?
>>>это возможно сделать?
>>
>>ACL на интерфейсе
>
>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>и инет рубиться...
>permit tcp any host 212.154.163.2 eq www
>только с таким АКЛ проходит
>permit ip any host 212.154.163.2
>но он открывает все...

Тогда конфиг НАТа в студию.

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 17-Янв-07 05:58

>>>>>>Добрый день!
>>>>>>настроил PAT
>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>и хочу обрезать доступ только по www
>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>
>>>>>>но инет перестает работать если убераю:
>>>>>>no permit ip any host Serial0/0.1
>>>>>>
>>>>>>при PATе этого невозможно добиться???
>>>>>
>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>www
>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>то прокатит.
>>>>
>>>>но мне надо чтобы на 212.154.163.2
>>>>снаружи был доступ только с определенных сетей
>>>>например с 209.7.0.0 0.0.255.255
>>>>а для других был закрыт доступ?
>>>>это возможно сделать?
>>>
>>>ACL на интерфейсе
>>
>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>и инет рубиться...
>>permit tcp any host 212.154.163.2 eq www
>>только с таким АКЛ проходит
>>permit ip any host 212.154.163.2
>>но он открывает все...
>
>
>Тогда конфиг НАТа в студию.
ip nat inside source list pat interface Serial0/0.1 overload
ip access-list extended pat
permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но работает icq
permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
deny ip any any

"как закрыть PAT,чтобы работал только по www"
Отправлено Изгой , 17-Янв-07 09:40

>>>>>>>Добрый день!
>>>>>>>настроил PAT
>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>и хочу обрезать доступ только по www
>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>
>>>>>>>но инет перестает работать если убераю:
>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>
>>>>>>>при PATе этого невозможно добиться???
>>>>>>
>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>www
>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>то прокатит.
>>>>>
>>>>>но мне надо чтобы на 212.154.163.2
>>>>>снаружи был доступ только с определенных сетей
>>>>>например с 209.7.0.0 0.0.255.255
>>>>>а для других был закрыт доступ?
>>>>>это возможно сделать?
>>>>
>>>>ACL на интерфейсе
>>>
>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>и инет рубиться...
>>>permit tcp any host 212.154.163.2 eq www
>>>только с таким АКЛ проходит
>>>permit ip any host 212.154.163.2
>>>но он открывает все...
>>
>>
>>Тогда конфиг НАТа в студию.
>
>ip nat inside source list pat interface Serial0/0.1 overload
>
>ip access-list extended pat
> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>работает icq
> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
> deny ip any any
DNS допиши в аккцесс лист

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 17-Янв-07 14:11

>>>>>>>>Добрый день!
>>>>>>>>настроил PAT
>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>
>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>
>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>
>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>www
>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>то прокатит.
>>>>>>
>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>снаружи был доступ только с определенных сетей
>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>а для других был закрыт доступ?
>>>>>>это возможно сделать?
>>>>>
>>>>>ACL на интерфейсе
>>>>
>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>и инет рубиться...
>>>>permit tcp any host 212.154.163.2 eq www
>>>>только с таким АКЛ проходит
>>>>permit ip any host 212.154.163.2
>>>>но он открывает все...
>>>
>>>
>>>Тогда конфиг НАТа в студию.
>>
>>ip nat inside source list pat interface Serial0/0.1 overload
>>
>>ip access-list extended pat
>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>работает icq
>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>> deny ip any any
>
>DNS допиши в аккцесс лист
так мне надо не внтреннюю сеть ограничивать а чтобы снаружи Serial0/0.1
был доступен только по 80 порту

"как закрыть PAT,чтобы работал только по www"
Отправлено asavenkov , 17-Янв-07 12:13

>>>>>>>Добрый день!
>>>>>>>настроил PAT
>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>и хочу обрезать доступ только по www
>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>
>>>>>>>но инет перестает работать если убераю:
>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>
>>>>>>>при PATе этого невозможно добиться???
>>>>>>
>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>www
>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>то прокатит.
>>>>>
>>>>>но мне надо чтобы на 212.154.163.2
>>>>>снаружи был доступ только с определенных сетей
>>>>>например с 209.7.0.0 0.0.255.255
>>>>>а для других был закрыт доступ?
>>>>>это возможно сделать?
>>>>
>>>>ACL на интерфейсе
>>>
>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>и инет рубиться...
>>>permit tcp any host 212.154.163.2 eq www
>>>только с таким АКЛ проходит
>>>permit ip any host 212.154.163.2
>>>но он открывает все...
>>
>>
>>Тогда конфиг НАТа в студию.
>
>ip nat inside source list pat interface Serial0/0.1 overload
>
>ip access-list extended pat
> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>работает icq
> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
> deny ip any any

В АКЛ добавить в одной из первых строк perm tcp any host IP_SERIAL established

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 17-Янв-07 14:06

>>>>>>>>Добрый день!
>>>>>>>>настроил PAT
>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>
>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>
>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>
>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>www
>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>то прокатит.
>>>>>>
>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>снаружи был доступ только с определенных сетей
>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>а для других был закрыт доступ?
>>>>>>это возможно сделать?
>>>>>
>>>>>ACL на интерфейсе
>>>>
>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>и инет рубиться...
>>>>permit tcp any host 212.154.163.2 eq www
>>>>только с таким АКЛ проходит
>>>>permit ip any host 212.154.163.2
>>>>но он открывает все...
>>>
>>>
>>>Тогда конфиг НАТа в студию.
>>
>>ip nat inside source list pat interface Serial0/0.1 overload
>>
>>ip access-list extended pat
>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>работает icq
>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>> deny ip any any
>
>
>В АКЛ добавить в одной из первых строк perm tcp any host
>IP_SERIAL established

permit tcp any host 212.154.163.2 eq www established
все равно инет рубиться,icq работает
только если permit ip any host 212.154.163.2-то инет пашет

"как закрыть PAT,чтобы работал только по www"
Отправлено asavenkov , 17-Янв-07 17:18

>>>>>>>>>Добрый день!
>>>>>>>>>настроил PAT
>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>>
>>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>>
>>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>>
>>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>>www
>>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>>то прокатит.
>>>>>>>
>>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>>снаружи был доступ только с определенных сетей
>>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>>а для других был закрыт доступ?
>>>>>>>это возможно сделать?
>>>>>>
>>>>>>ACL на интерфейсе
>>>>>
>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>>и инет рубиться...
>>>>>permit tcp any host 212.154.163.2 eq www
>>>>>только с таким АКЛ проходит
>>>>>permit ip any host 212.154.163.2
>>>>>но он открывает все...
>>>>
>>>>
>>>>Тогда конфиг НАТа в студию.
>>>
>>>ip nat inside source list pat interface Serial0/0.1 overload
>>>
>>>ip access-list extended pat
>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>>работает icq
>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>>> deny ip any any
>>
>>
>>В АКЛ добавить в одной из первых строк perm tcp any host
>>IP_SERIAL established
>
>
>permit tcp any host 212.154.163.2 eq www established
>все равно инет рубиться,icq работает
>только если permit ip any host 212.154.163.2-то инет пашет
permit tcp any host 212.154.163.2 established
permit tcp any host 212.154.163.2 eq www

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 18-Янв-07 07:00

>>>>>>>>>>Добрый день!
>>>>>>>>>>настроил PAT
>>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>>>
>>>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>>>
>>>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>>>
>>>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>>>www
>>>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>>>то прокатит.
>>>>>>>>
>>>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>>>снаружи был доступ только с определенных сетей
>>>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>>>а для других был закрыт доступ?
>>>>>>>>это возможно сделать?
>>>>>>>
>>>>>>>ACL на интерфейсе
>>>>>>
>>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>>>и инет рубиться...
>>>>>>permit tcp any host 212.154.163.2 eq www
>>>>>>только с таким АКЛ проходит
>>>>>>permit ip any host 212.154.163.2
>>>>>>но он открывает все...
>>>>>
>>>>>
>>>>>Тогда конфиг НАТа в студию.
>>>>
>>>>ip nat inside source list pat interface Serial0/0.1 overload
>>>>
>>>>ip access-list extended pat
>>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>>>работает icq
>>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>>>> deny ip any any
>>>
>>>
>>>В АКЛ добавить в одной из первых строк perm tcp any host
>>>IP_SERIAL established
>>
>>
>>permit tcp any host 212.154.163.2 eq www established
>>все равно инет рубиться,icq работает
>>только если permit ip any host 212.154.163.2-то инет пашет
>
>permit tcp any host 212.154.163.2 established
>permit tcp any host 212.154.163.2 eq www
хорошо сделал таким образом:
permit tcp any host 212.154.163.2 eq www
permit tcp any host 212.154.163.2 eq www established
permit tcp any host 212.154.163.2 eq pop3
permit tcp any host 212.154.163.2 eq smtp
permit tcp any host 212.154.163.2 eq smtp established
permit tcp any host 212.154.163.2 eq pop3 established
но как то странно получилось когда прописывал строку с www он работал
потом прописал pop3 smtp -инет работал но почта нет,
потом через некоторое время вырубилься инет,но заработала почта...
почему так происходит?

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 18-Янв-07 07:03

>>>>>>>>>>>Добрый день!
>>>>>>>>>>>настроил PAT
>>>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>>>>
>>>>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>>>>
>>>>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>>>>
>>>>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>>>>www
>>>>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>>>>то прокатит.
>>>>>>>>>
>>>>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>>>>снаружи был доступ только с определенных сетей
>>>>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>>>>а для других был закрыт доступ?
>>>>>>>>>это возможно сделать?
>>>>>>>>
>>>>>>>>ACL на интерфейсе
>>>>>>>
>>>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>>>>и инет рубиться...
>>>>>>>permit tcp any host 212.154.163.2 eq www
>>>>>>>только с таким АКЛ проходит
>>>>>>>permit ip any host 212.154.163.2
>>>>>>>но он открывает все...
>>>>>>
>>>>>>
>>>>>>Тогда конфиг НАТа в студию.
>>>>>
>>>>>ip nat inside source list pat interface Serial0/0.1 overload
>>>>>
>>>>>ip access-list extended pat
>>>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>>>>работает icq
>>>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>>>>> deny ip any any
>>>>
>>>>
>>>>В АКЛ добавить в одной из первых строк perm tcp any host
>>>>IP_SERIAL established
>>>
>>>
>>>permit tcp any host 212.154.163.2 eq www established
>>>все равно инет рубиться,icq работает
>>>только если permit ip any host 212.154.163.2-то инет пашет
>>
>>permit tcp any host 212.154.163.2 established
>>permit tcp any host 212.154.163.2 eq www
>
>хорошо сделал таким образом:
> permit tcp any host 212.154.163.2 eq www
> permit tcp any host 212.154.163.2 eq www established
> permit tcp any host 212.154.163.2 eq pop3
> permit tcp any host 212.154.163.2 eq smtp
> permit tcp any host 212.154.163.2 eq smtp established
> permit tcp any host 212.154.163.2 eq pop3 established
>
>но как то странно получилось когда прописывал строку с www он работал
>
>потом прописал pop3 smtp -инет работал но почта нет,
>потом через некоторое время вырубилься инет,но заработала почта...
>почему так происходит?

- но при чем инет вырубилься, если захожу на новые сайты ,
а внутри этого форума навигация работает нормально

"как закрыть PAT,чтобы работал только по www"
Отправлено erjan , 18-Янв-07 12:36

>>>>>>>>>>>>Добрый день!
>>>>>>>>>>>>настроил PAT
>>>>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload
>>>>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1
>>>>>>>>>>>>и хочу обрезать доступ только по www
>>>>>>>>>>>>permit tcp host 212.154.163.2 any eq www
>>>>>>>>>>>>
>>>>>>>>>>>>но инет перестает работать если убераю:
>>>>>>>>>>>>no permit ip any host Serial0/0.1
>>>>>>>>>>>>
>>>>>>>>>>>>при PATе этого невозможно добиться???
>>>>>>>>>>>
>>>>>>>>>>>Ну наверно надо прописать в акцесс листе для пата
>>>>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg
>>>>>>>>>>>www
>>>>>>>>>>>но так вы порежите dns - но если работать через внешний проксик
>>>>>>>>>>>то прокатит.
>>>>>>>>>>
>>>>>>>>>>но мне надо чтобы на 212.154.163.2
>>>>>>>>>>снаружи был доступ только с определенных сетей
>>>>>>>>>>например с 209.7.0.0 0.0.255.255
>>>>>>>>>>а для других был закрыт доступ?
>>>>>>>>>>это возможно сделать?
>>>>>>>>>
>>>>>>>>>ACL на интерфейсе
>>>>>>>>
>>>>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет
>>>>>>>>и инет рубиться...
>>>>>>>>permit tcp any host 212.154.163.2 eq www
>>>>>>>>только с таким АКЛ проходит
>>>>>>>>permit ip any host 212.154.163.2
>>>>>>>>но он открывает все...
>>>>>>>
>>>>>>>
>>>>>>>Тогда конфиг НАТа в студию.
>>>>>>
>>>>>>ip nat inside source list pat interface Serial0/0.1 overload
>>>>>>
>>>>>>ip access-list extended pat
>>>>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но
>>>>>>работает icq
>>>>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет
>>>>>> deny ip any any
>>>>>
>>>>>
>>>>>В АКЛ добавить в одной из первых строк perm tcp any host
>>>>>IP_SERIAL established
>>>>
>>>>
>>>>permit tcp any host 212.154.163.2 eq www established
>>>>все равно инет рубиться,icq работает
>>>>только если permit ip any host 212.154.163.2-то инет пашет
>>>
>>>permit tcp any host 212.154.163.2 established
>>>permit tcp any host 212.154.163.2 eq www
>>
>>хорошо сделал таким образом:
>> permit tcp any host 212.154.163.2 eq www
>> permit tcp any host 212.154.163.2 eq www established
>> permit tcp any host 212.154.163.2 eq pop3
>> permit tcp any host 212.154.163.2 eq smtp
>> permit tcp any host 212.154.163.2 eq smtp established
>> permit tcp any host 212.154.163.2 eq pop3 established
>>
>>но как то странно получилось когда прописывал строку с www он работал
>>
>>потом прописал pop3 smtp -инет работал но почта нет,
>>потом через некоторое время вырубилься инет,но заработала почта...
>>почему так происходит?
>
>
>
>
>- но при чем инет вырубилься, если захожу на новые сайты ,
>
>а внутри этого форума навигация работает нормально

все заработало надо было разрешить DNS:
permit ip host DNS host interface Serial0/0.1
всем спасибо!