interface FastEthernet0/0
ip address 192.168.10.182 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map 200
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description Comstar
ip address xxxx.95.5 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/3/0
switchport access vlan 2
!
interface FastEthernet0/3/1
switchport access vlan 3
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
shutdown
!
interface Vlan2
description DMZ
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
ip route 0.0.0.0 0.0.0.0 xxxx.95.1
!
!
no ip http server
no ip http secure-server
ip nat pool Comstar xxxx.95.0 xxxx.95.255 netmask 255.255.255.0
ip nat inside source list 1 pool Comstar overload
!
ip access-list extended Comstar
permit icmp any host xxxx.95.5
permit gre any host xxxx.95.5
permit tcp any xxxx.95.0 0.0.0.255 eq www
permit tcp any xxxx.95.0 0.0.0.255 eq smtp
permit tcp any xxxx.95.0 0.0.0.255 eq pop3
permit udp any xxxx.95.0 0.0.0.255 eq ntp
permit tcp any xxxx.95.0 0.0.0.255 eq domain
permit udp any xxxx.95.0 0.0.0.255 eq domain
deny ip any any log
ip access-list extended Local_to_Comstar
permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 192.168.10.0 0.0.0.255 any
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq smtp
permit tcp 192.168.10.0 0.0.0.255 any eq pop3
permit tcp 192.168.10.0 0.0.0.255 any eq domain
permit udp 192.168.10.0 0.0.0.255 any eq domain
permit tcp 192.168.10.0 0.0.0.255 any eq 5190
permit tcp 192.168.10.0 0.0.0.255 any eq 4430
permit tcp 192.168.10.0 0.0.0.255 any eq 443
permit tcp 192.168.10.0 0.0.0.255 any eq ftp
deny ip any any log
!
access-list 1 permit 192.168.10.0 0.0.0.255
В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил.Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то фильтрация исходящих пакетов происходит нормуль....
ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть быть и что в спсики доступа нужно добавить чтобы все правила заработали???
в этом деле не давно совсем, поэтому всем заранее спасибо!
>[оверквотинг удален]
>
>Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то
>фильтрация исходящих пакетов происходит нормуль....
>
>ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface
>FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть
>быть и что в спсики доступа нужно добавить чтобы все правила
>заработали???
>
>в этом деле не давно совсем, поэтому всем заранее спасибо!Посмотри в логе, почему drop-ся пакеты.
собственно, всё логично..вы понимаете смысл in и out? если вы повесите приведенный acl на вход wan-овского интерфейса, то пакеты вида 192.168, приходящие из инета, естественно, не будут иметь смысла и будет срабатывать дефолтное deny any any
>собственно, всё логично..вы понимаете смысл in и out? если вы повесите приведенный
>acl на вход wan-овского интерфейса, то пакеты вида 192.168, приходящие из
>инета, естественно, не будут иметь смысла и будет срабатывать дефолтное deny
>any anyчто значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут прийти? - nat............
собственно кто может поправить конфиг при этом доступ в инет должен сохрантся и все те порты которые я указал для доступа из вне должны отстаться закрытыми
всем спасибо
>[оверквотинг удален]
>>any any
>
>что значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут
>прийти? - nat............
>
>собственно кто может поправить конфиг при этом доступ в инет должен сохрантся
>и все те порты которые я указал для доступа из вне
>должны отстаться закрытыми
>
>всем спасибочто так все плохо и ни кто не может помочь?
>что значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут
>прийти? - nat............это значит, что я привел пример неверного матчинга вашего акцесс-листа, если его повесить на вход внешнего интерфейса..
>В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил
и чем этот первоначальный вариант не устраивает?
пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить?
>пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить?прошу прощения, туплю в конце дня..
на внешний интерфейс нужно повесить permit tcp www и deny tcp eq [ваши порты]
>>пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить?
>
>прошу прощения, туплю в конце дня..
>
>на внешний интерфейс нужно повесить permit tcp www и deny tcp eq
>[ваши порты]Сложно разобрать а тем более следовать вашему ответу ........Можно конкретику.........ВОт есть список доступа который я хочу повесить на внешний интерфейс чтобы разрешить и заблокировать доступ из инета к моей внутренний сети по тем или иным портам.
ip access-list extended Comstar
permit icmp any host xxxx.95.5
permit gre any host xxxx.95.5
permit tcp any xxxx.95.0 0.0.0.255 eq www
permit tcp any xxxx.95.0 0.0.0.255 eq smtp
permit tcp any xxxx.95.0 0.0.0.255 eq pop3
permit udp any xxxx.95.0 0.0.0.255 eq ntp
permit tcp any xxxx.95.0 0.0.0.255 eq domain
permit udp any xxxx.95.0 0.0.0.255 eq domain
deny ip any any log
Так вот что нужно добавить в этот список доступа чтобы инет в не срубался после приминения этого списка на внешний интерфейс......такое ощущение что пакет уходи в инет но потом не может прйти обратно......или я не умею формулировать свои мысли раз всех так запутал....на мой взгляд весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы траффик инетовский заходит
>[оверквотинг удален]
>permit udp any xxxx.95.0 0.0.0.255 eq domain
>deny ip any any log
>
>
>Так вот что нужно добавить в этот список доступа чтобы инет в
>не срубался после приминения этого списка на внешний интерфейс......такое ощущение что
>пакет уходи в инет но потом не может прйти обратно......или я
>не умею формулировать свои мысли раз всех так запутал....на мой взгляд
>весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы
>траффик инетовский заходитpermit tcp any any established
и на интерфейс его
int fa0/0
ip access-group Comstar in
>[оверквотинг удален]
>>пакет уходи в инет но потом не может прйти обратно......или я
>>не умею формулировать свои мысли раз всех так запутал....на мой взгляд
>>весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы
>>траффик инетовский заходит
>
>permit tcp any any established
>
>и на интерфейс его
>int fa0/0
>ip access-group Comstar inАга сделал.......прописал permit tcp any any established и сунул на интерфейс......так этой самой командой я открыл дооступ всем из инета в мою локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это нужно?
>[оверквотинг удален]
>>permit tcp any any established
>>
>>и на интерфейс его
>>int fa0/0
>>ip access-group Comstar in
>
>Ага сделал.......прописал permit tcp any any established и сунул на интерфейс......так
>этой самой командой я открыл дооступ всем из инета в мою
>локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это
>нужно?кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя бы проверить тот самый доступ который якобы теперь открыт всем...
вообщем читайте основы TCP/IP
>[оверквотинг удален]
>>>ip access-group Comstar in
>>
>>Ага сделал.......прописал permit tcp any any established и сунул на интерфейс......так
>>этой самой командой я открыл дооступ всем из инета в мою
>>локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это
>>нужно?
>
>кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя
>бы проверить тот самый доступ который якобы теперь открыт всем...
>вообщем читайте основы TCP/IPа что утверждать то? проверил, к примеру я могу коннктится по теонету из инета к моей циске запрасто хотя протокол 23 я не открывал......насколько я понимаю после наложения permit tcp any any established на внешний интерфейс открывается доступ все из инета в наш сеть
>[оверквотинг удален]
>>
>>кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя
>>бы проверить тот самый доступ который якобы теперь открыт всем...
>>вообщем читайте основы TCP/IP
>
>а что утверждать то? проверил, к примеру я могу коннктится по теонету
>из инета к моей циске запрасто хотя протокол 23 я не
>открывал......насколько я понимаю после наложения permit tcp any any established
>на внешний интерфейс открывается доступ все из инета в наш сеть
>Уважаемый Здравствйте! Вам же говорят что необходимо посмотреть что такое NAT, как он работает, а то что Вы имеете доступ по телнету к Вашей Cisco это не говорит о том что все имеют доступ из инета к Вашей сети