URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13477
[ Назад ]

Исходное сообщение
"Проблема в настройке ACL с  ESTABLISHED"

Отправлено zender , 04-Май-07 12:32 
Имеется Cisco 1841.
100.100.100.101 - мой внешний адрес
192.168.10.49/24 - на этом адресе мой squid

Поднял сервер на юниксе. На нем squid и веб-сервер (для веба прописал статический NAT).
Наружу ходят через squid, а так же несколько машин напямую(мимо прокси)
Делаю на роутере:
#sh ip nat transl
tcp 100.100.100.101:56528 192.168.5.49:56528   64.12.25.193:5190     64.12.25.193:5190
tcp 100.100.100.101:64391 192.168.5.49:64391   205.188.1.120:5190    205.188.1.120:5190
tcp 100.100.100.101:50900 192.168.5.49:50900   217.112.37.20:80      217.112.37.20:80
tcp 100.100.100.101:51331 192.168.5.49:51331   217.112.37.20:80      217.112.37.20:80

Задача:
трафик с наружи должен возвращаться через те же порты с каких была инициализация.

добавил в ACL:
permit tcp any any established - результата ни какого.
Убирал static NAT, пробовал извращатся.
Не могу понять почему в моем варианте не работает "established".

Привожу конфиг:
!
interface FastEthernet0/0
description Connection to wan
ip address 100.100.100.101 255.255.255.252
ip access-group internet in
ip nat outside
...
!
interface FastEthernet0/1
description Connection to LAN
ip address 192.168.10.254 255.255.255.0
ip access-group inside in
ip nat inside
...
!
ip route 0.0.0.0 0.0.0.0 100.100.100.100
ip route 100.100.100.0 255.255.255.248 FastEthernet0/0
!
ip nat inside source list nat interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.5.49 80 100.100.100.101 80 extendable
ip nat inside source static tcp 192.168.5.49 9996 100.100.100.101 9996 extendable
!
!
ip access-list extended inside
permit ip any any
deny   ip any any log
!
ip access-list extended internet
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any packet-too-big
permit icmp any any traceroute
permit icmp any any unreachable
permit tcp any any eq 443
permit tcp 192.168.10.49 255.255.255.0 eq www
permit tcp 192.168.10.49 255.255.255.0 eq domain
permit tcp 192.168.10.49 255.255.255.0 eq ntp
permit tcp 192.168.10.49 255.255.255.0 eq 5190
...
permit tcp 192.168.10.50 255.255.255.0 eq www
permit tcp 192.168.10.50 255.255.255.0 eq 5959
permit tcp 192.168.10.50 255.255.255.0 eq domain
...
permit tcp any host 100.100.100.101 eq www
permit tcp any any established
deny   ip any any
!

ip access-list extended nat
permit ip host 192.168.10.49 any
permit ip host 192.168.10.50 any
...
deny   ip any any


Содержание

Сообщения в этом обсуждении
"Проблема в настройке ACL с  ESTABLISHED"
Отправлено zender , 07-Май-07 17:52 
Может я неправильно вопрос сформулирвал, подскажите почему в моем в случае
permit tcp any any established  не срабатывает.

"Проблема в настройке ACL с  ESTABLISHED"
Отправлено Дмитрий , 01-Июн-07 17:49 
>Может я неправильно вопрос сформулирвал, подскажите почему в моем в случае
>permit tcp any any established  не срабатывает.

Да неужели нет знатоков по ACL

established установленные соединения? я так понимаю это ответные соединения на уже посланные запросы. Т.е
Одним ACL ты разрешаешь (привязать его нужно на $ext if out)
access-list 150 permit tcp $Ext IP any eq www
а другой на разрешить ответные соединения)(привязать его нужно на вход $ext if in)
access-list 150 permit tcp any $Ext established

вот для чего нужно established  
To GURU Ведь правильно?