Смотрите. Есть рутер 2821. Работает она в качестве маршрутизатора NAT. Адресация серых ip из 10-й сети (т.е. 10.x.x.x) На всех ее интерфейсах стоит ip access-group 2009 in.
#sh ip access-list 2009
9 deny ip any 192.168.0.0 0.0.255.255 (121530 matches)
10 deny tcp any any eq 135 (1590056 matches)
20 deny tcp any any eq 137 (30 matches)
30 deny tcp any any eq 139 (336292 matches)
40 deny udp any any eq 135
50 deny udp any any eq netbios-ns (27311063 matches)
60 deny udp any any eq netbios-ss
70 deny tcp any any eq 445 (1846392 matches)
80 deny udp any any eq 445 (9 matches)
90 permit ip any any (1627215552 matches)
100 permit icmp any any
Учет трафика веду с помощью ip accounting. Иногда если посмотреть #sh ip accounting | inc 192.168. можно увидеть следующее:
192.168.0.2 213.213.117.5 3 186
192.168.0.2 213.213.117.6 3 186
213.213.117.5 и 6 это мои ns сервера, имеющие белые ip.(здесь вымышленные). 192.168.0.2 - это адрес, который в сети не используется (в смысле мы такие адреса не выдаем, но точно какой-то умник нашелся).
Мне очень интересно, как эта гадость попала в таблицу accounting если к каждому интерфейсу привязан access-list запрещающий эту гадость?
>Смотрите. Есть рутер 2821. Работает она в качестве маршрутизатора NAT. Адресация серых
>ip из 10-й сети (т.е. 10.x.x.x) На всех ее интерфейсах
>стоит ip access-group 2009 in.
>#sh ip access-list 2009
> 9 deny ip any 192.168.0.0 0.0.255.255 (121530 matches)
>
> 10 deny tcp any any eq 135 (1590056
>matches)
> 20 deny tcp any any eq 137 (30
>matches)
> 30 deny tcp any any eq 139 (336292
>matches)
> 40 deny udp any any eq 135
> 50 deny udp any any eq netbios-ns (27311063
>matches)
> 60 deny udp any any eq netbios-ss
> 70 deny tcp any any eq 445 (1846392
>matches)
> 80 deny udp any any eq 445 (9
>matches)
> 90 permit ip any any (1627215552 matches)
> 100 permit icmp any any
>Учет трафика веду с помощью ip accounting. Иногда если посмотреть #sh ip
>accounting | inc 192.168. можно увидеть следующее:
>192.168.0.2 213.213.117.5 3 186
>
>192.168.0.2 213.213.117.6 3 186
>
>213.213.117.5 и 6 это мои ns сервера, имеющие белые ip.(здесь вымышленные). 192.168.0.2
>- это адрес, который в сети не используется (в смысле мы
>такие адреса не выдаем, но точно какой-то умник нашелся).
>Мне очень интересно, как эта гадость попала в таблицу accounting если к
>каждому интерфейсу привязан access-list запрещающий эту гадость?up
очень нужно
>>Смотрите. Есть рутер 2821. Работает она в качестве маршрутизатора NAT. Адресация серых
>>ip из 10-й сети (т.е. 10.x.x.x) На всех ее интерфейсах
>>стоит ip access-group 2009 in.
>>#sh ip access-list 2009
>> 9 deny ip any 192.168.0.0 0.0.255.255 (121530 matches)
>>
>> 10 deny tcp any any eq 135 (1590056
>>matches)
>> 20 deny tcp any any eq 137 (30
>>matches)
>> 30 deny tcp any any eq 139 (336292
>>matches)
>> 40 deny udp any any eq 135
>> 50 deny udp any any eq netbios-ns (27311063
>>matches)
>> 60 deny udp any any eq netbios-ss
>> 70 deny tcp any any eq 445 (1846392
>>matches)
>> 80 deny udp any any eq 445 (9
>>matches)
>> 90 permit ip any any (1627215552 matches)
>> 100 permit icmp any any
>>Учет трафика веду с помощью ip accounting. Иногда если посмотреть #sh ip
>>accounting | inc 192.168. можно увидеть следующее:
>>192.168.0.2 213.213.117.5 3 186
>>
>>192.168.0.2 213.213.117.6 3 186
>>
>>213.213.117.5 и 6 это мои ns сервера, имеющие белые ip.(здесь вымышленные). 192.168.0.2
>>- это адрес, который в сети не используется (в смысле мы
>>такие адреса не выдаем, но точно какой-то умник нашелся).
>>Мне очень интересно, как эта гадость попала в таблицу accounting если к
>>каждому интерфейсу привязан access-list запрещающий эту гадость?
>
>up
>очень нужноДобавить
8 deny ip 192.168.0.0 0.0.255.25 any
>Добавить
>
>8 deny ip 192.168.0.0 0.0.255.25 any
так в таблице accounting этот адрес стоит какспасибо..попробую..