URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18325
[ Назад ]

Исходное сообщение
" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 28-Фев-09 14:32

Есть данный девайс
настроен access-list на выход(out)
стоят некие заперты на никие сайты, но это не важно
если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают , а если этой же строке указать определенный АЙ ПИ или подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает
а вот для строки DESTINATION работает ВСЕ и единичный ай пи и группы адресов, проблема тока во внутренних адресах, такое ощущение что она их не "ПОНИМАЕТ" или не "ЗНАЕТ"

Содержание

ADDPAC 1100 и ACCESS-LIST,bokl, 14:36 , 28-Фев-09
- ADDPAC 1100 и ACCESS-LIST,cycik, 15:50 , 28-Фев-09
  - ADDPAC 1100 и ACCESS-LIST,den68, 22:00 , 28-Фев-09
    - ADDPAC 1100 и ACCESS-LIST,cycik, 15:06 , 01-Мрт-09
      - ADDPAC 1100 и ACCESS-LIST,cycik, 15:35 , 01-Мрт-09
        
        ADDPAC 1100 и ACCESS-LIST,cycik, 11:35 , 02-Мрт-09
        
        ADDPAC 1100 и ACCESS-LIST,cycik, 11:42 , 03-Мрт-09
        
        ADDPAC 1100 и ACCESS-LIST,den68, 02:18 , 06-Мрт-09

Сообщения в этом обсуждении

" ADDPAC 1100 и ACCESS-LIST"
Отправлено bokl , 28-Фев-09 14:36

>[оверквотинг удален]
>стоят некие заперты на никие сайты, но это не важно
>
>если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают
>, а если этой же строке указать определенный АЙ ПИ или
>подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает
>
>
>а вот для строки DESTINATION работает ВСЕ и единичный ай пи и
>группы адресов, проблема тока во внутренних адресах, такое ощущение что она
>их не "ПОНИМАЕТ" или не "ЗНАЕТ"
у тебя нат наверно

" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 28-Фев-09 15:50

>[оверквотинг удален]
>>если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают
>>, а если этой же строке указать определенный АЙ ПИ или
>>подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает
>>
>>
>>а вот для строки DESTINATION работает ВСЕ и единичный ай пи и
>>группы адресов, проблема тока во внутренних адресах, такое ощущение что она
>>их не "ПОНИМАЕТ" или не "ЗНАЕТ"
>
>у тебя нат наверно
использую нат для входящего трафика, т.к внутри сети есть компы и устрйоства к которым
нужен доступ снаружи
но лист для запреторв то висит на внешнем
я конечно малость ламер в этих делах ))))
внешний
Interface : ether0.0
     IP Address : 217.77.49.108    Physical Interface : Ethernet0
     Network : 217.77.49.104       Subnet Mask : 255.255.255.248
     Administrator Status : UP     Operation Status : UP
     Network Type : Ethernet       MTU : 1500
     Hardware Address : 00 10 4b 4f 46 4d
     NAT inside global networks
     Inbound Access Lists is attached, (Id = 31)
         outbound Access Lists is attached, (Id = 30)
внутренний
Interface : ether1.0
     IP Address : 192.168.0.1      Physical Interface : Ethernet1
     Network : 192.168.0.0         Subnet Mask : 255.255.255.0
     Administrator Status : UP     Operation Status : UP
     Network Type : Ethernet       MTU : 1500
     Hardware Address : 00 02 a4 02 11 11
     NAT inside local networks, (Id = 0)

вы скажите куда копать если не сложно конечно))

" ADDPAC 1100 и ACCESS-LIST"
Отправлено den68 , 28-Фев-09 22:00

>использую нат для входящего трафика, т.к внутри сети есть компы и устрйоства
>к которым
> нужен доступ снаружи
>
>но лист для запреторв то висит на внешнем
а ставить надо на внутреннем ...

" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 01-Мрт-09 15:06

>>использую нат для входящего трафика, т.к внутри сети есть компы и устрйоства
>>к которым
>> нужен доступ снаружи
>>
>>но лист для запреторв то висит на внешнем
>
>а ставить надо на внутреннем ...
он висит на внутреннем " NAT inside local networks, (Id = 0)"

" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 01-Мрт-09 15:35

>>>использую нат для входящего трафика, т.к внутри сети есть компы и устрйоства
>>>к которым
>>> нужен доступ снаружи
>>>
>>>но лист для запреторв то висит на внешнем
>>
>>а ставить надо на внутреннем ...
>
>он висит на внутреннем " NAT inside local networks, (Id = 0)"
>
а access-list пробовал вешать и на внутренний

" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 02-Мрт-09 11:35

>[оверквотинг удален]
>>>> нужен доступ снаружи
>>>>
>>>>но лист для запреторв то висит на внешнем
>>>
>>>а ставить надо на внутреннем ...
>>
>>он висит на внутреннем " NAT inside local networks, (Id = 0)"
>>
>
>а access-list пробовал вешать и на внутренний
выяснилось что если с строке source вместо ANY нарисовать наш внешний ай пи то запреты, тоже работают
соот. я так понимаю дело в НАТе
всем пользователям присваевается внешний ай пи и вперед , соот. запреты и не работают
а вот как сделать чтоб для отдельных внутренних адресов работали заперты, не догонаю пока (((

" ADDPAC 1100 и ACCESS-LIST"
Отправлено cycik , 03-Мрт-09 11:42

>[оверквотинг удален]
>>
>>а access-list пробовал вешать и на внутренний
>
>выяснилось что если с строке source вместо ANY нарисовать наш внешний ай
>пи то запреты, тоже работают
>соот. я так понимаю дело в НАТе
>всем пользователям присваевается внешний ай пи и вперед , соот. запреты и
>не работают
>а вот как сделать чтоб для отдельных внутренних адресов работали заперты, не
>догонаю пока (((
люди добрые, подскажите пожалуйста,оченьь надо))))

" ADDPAC 1100 и ACCESS-LIST"
Отправлено den68 , 06-Мрт-09 02:18

>>[оверквотинг удален]
>но лист для запреторв то висит на внешнем
а ставить надо на внутреннем ...