URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16714
[ Назад ]

Исходное сообщение
"Наложение Access-list"
Отправлено momo , 14-Июл-08 22:09

Вот конфиг
interface FastEthernet0/0
description Local
ip address 192.168.10.10 255.255.255.0
ip access-group Local_to_Comstar in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description Comstar
ip address 777.777.777.6 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/3/0
switchport access vlan 2
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Vlan1
no ip address
!
interface Vlan2
description DMZ
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 777.777.777.1
!
!
ip http server
no ip http secure-server
ip nat pool Comstar 777.777.777.9 777.777.777.9 netmask 255.255.255.252
ip nat inside source list 98 pool Comstar overload
ip nat inside source list 99 pool Comstar overload
ip nat inside source static tcp 192.168.0.2 25 777.777.777.5 25 extendable
!
ip access-list extended Comstar
permit tcp any any established
permit icmp any host 777.777.777.9
ip access-list extended DMZ
permit tcp 192.168.0.0 0.0.0.255 any eq domain
permit udp 192.168.0.0 0.0.0.255 any eq domain
permit tcp 192.168.0.0 0.0.0.255 any eq 5190
permit tcp 192.168.0.0 0.0.0.255 any eq 4430
permit tcp 192.168.0.0 0.0.0.255 any eq 443
permit tcp 192.168.0.0 0.0.0.255 any eq ftp
permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
permit tcp 192.168.0.0 0.0.0.255 any eq www
permit tcp 192.168.0.0 0.0.0.255 any eq pop3
permit tcp 192.168.0.0 0.0.0.255 any eq smtp
ip access-list extended Local_to_Comstar
permit icmp 192.168.10.0 0.0.0.255 any
permit tcp 192.168.10.0 0.0.0.255 any eq domain
permit udp 192.168.10.0 0.0.0.255 any eq domain
permit tcp 192.168.10.0 0.0.0.255 any eq smtp
permit tcp 192.168.10.0 0.0.0.255 any eq pop3
permit ip host 192.168.10.183 any
permit ip host 192.168.10.184 any
permit ip host 192.168.10.185 any
permit ip host 192.168.10.4 any
permit ip host 192.168.10.187 any
permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255
!
access-list 98 permit 192.168.0.0 0.0.0.255
access-list 99 permit 192.168.10.0 0.0.0.255
Когда пытаюсь наложить список доступа Comstar in на внешний интрефейс f0/1(777.777.777.6 255.255.255.0),то сраже же пропадает доступ в инет......Это не понятно если учесть что в этом списке доступа есть стора типа permit tcp any any established, которая разрешает прохождение обратных пакетов от носящихся к протолу tcp. Знаю.что можно использовать ip inspect и к примеру разрешить доступ из вне во внутреннию сеть только,к примеру icmp, а ip inspect будкт сам резать весь траф из вне кроме инициализированного из внутренней сети. Но пока хотелось бы разобраться с этой проблемой, которая кажется на первый взгляд вроде простой но в тоже время пока не решенной для меня

Всем спасибо!

Содержание

Наложение Access-list,CrAzOiD, 01:36 , 15-Июл-08
- Наложение Access-list,momo, 10:12 , 15-Июл-08
  - Наложение Access-list,CrAzOiD, 14:04 , 15-Июл-08
- Наложение Access-list,momo, 10:13 , 15-Июл-08
- Наложение Access-list,momo, 10:23 , 15-Июл-08
  - Наложение Access-list,enk, 11:16 , 15-Июл-08
    - Наложение Access-list,momo, 21:43 , 15-Июл-08
      - Наложение Access-list,enk, 13:09 , 16-Июл-08
      - Наложение Access-list,enk, 13:44 , 16-Июл-08
        
        Наложение Access-list,momo, 14:13 , 16-Июл-08
        
        Наложение Access-list,momo, 21:05 , 17-Июл-08

Сообщения в этом обсуждении

"Наложение Access-list"
Отправлено CrAzOiD , 15-Июл-08 01:36

>[оверквотинг удален]
>established, которая разрешает прохождение обратных пакетов от носящихся к протолу tcp.
>Знаю.что можно использовать ip inspect и к примеру разрешить доступ из
>вне во внутреннию сеть только,к примеру icmp, а ip inspect будкт
>сам резать весь траф из вне кроме инициализированного из внутренней сети.
>Но пока хотелось бы разобраться с этой проблемой, которая кажется на
>первый взгляд вроде простой но в тоже время пока не решенной
>для меня
>
>
>Всем спасибо!
а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?

"Наложение Access-list"
Отправлено momo , 15-Июл-08 10:12

>[оверквотинг удален]
>>сам резать весь траф из вне кроме инициализированного из внутренней сети.
>>Но пока хотелось бы разобраться с этой проблемой, которая кажется на
>>первый взгляд вроде простой но в тоже время пока не решенной
>>для меня
>>
>>
>>Всем спасибо!
>
>а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?
>
пингом

"Наложение Access-list"
Отправлено CrAzOiD , 15-Июл-08 14:04

>[оверквотинг удален]
>>>первый взгляд вроде простой но в тоже время пока не решенной
>>>для меня
>>>
>>>
>>>Всем спасибо!
>>
>>а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?
>>
>
>пингом
думаю что вы сами уже все поняли
инет у вас есть, пинга нет

"Наложение Access-list"
Отправлено momo , 15-Июл-08 10:13

>[оверквотинг удален]
>>сам резать весь траф из вне кроме инициализированного из внутренней сети.
>>Но пока хотелось бы разобраться с этой проблемой, которая кажется на
>>первый взгляд вроде простой но в тоже время пока не решенной
>>для меня
>>
>>
>>Всем спасибо!
>
>а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?
>
Пингом

"Наложение Access-list"
Отправлено momo , 15-Июл-08 10:23

>[оверквотинг удален]
>>сам резать весь траф из вне кроме инициализированного из внутренней сети.
>>Но пока хотелось бы разобраться с этой проблемой, которая кажется на
>>первый взгляд вроде простой но в тоже время пока не решенной
>>для меня
>>
>>
>>Всем спасибо!
>
>а как вы проверяете что пропал интернет? не пингом ли? или трейсроутом?
>
пингом

"Наложение Access-list"
Отправлено enk , 15-Июл-08 11:16

А причем тут пинг и established? =)
У вас в обратку ping не разрешен вроде. А правило для established-соединений, соответственно, для протока tcp.

"Наложение Access-list"
Отправлено momo , 15-Июл-08 21:43

>А причем тут пинг и established? =)
>У вас в обратку ping не разрешен вроде. А правило для established-соединений,
>соответственно, для протока tcp.
так не прходят как и пинги так и пакеты по 80 порту........и это только после наложения вышеупомянутого списка доступа на внешний интрефейс

"Наложение Access-list"
Отправлено enk , 16-Июл-08 13:09

>ip access-group Local_to_Comstar in
А это что? Можно подробности?

"Наложение Access-list"
Отправлено enk , 16-Июл-08 13:44

Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас 6, в ACL 9...

"Наложение Access-list"
Отправлено momo , 16-Июл-08 14:13

>Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас
>6, в ACL 9...
насчет адресов,то ошибки никакой нет.......поясните это имеет какое либо значение?

"Наложение Access-list"
Отправлено momo , 17-Июл-08 21:05

>>Да, и кстати вы с адресам ине ошиблись? На интерфейсе у вас
>>6, в ACL 9...
>
>насчет адресов,то ошибки никакой нет.......поясните это имеет какое либо значение?
так что насчет адресов а то что то не понятно