URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21735
[ Назад ]

Исходное сообщение
"Cicso 2801 ACL"

Отправлено xservices , 11-Окт-10 02:30 
Есть циска 2801.
Требуется простое
На входящие обрубать все кроме 21,22,2020,80,110,25,3306 ну и кроме за 1024.

Попробовал написать вот так

ip access-group 101 in
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
access-list 101 deny ip any any log


Вопросы.
Когда написал такое правило на 20.0/24 серверах пропала возможность резолвить ип.
ping ya.ru и пишет что не могу отрезольвить.
И второе по
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
какой диапазон указывать что работали нормально службы.
Как известно мне что порт 80 отвечает на другие порты.
Или это уже входит в established?
Помогите советом, новичок немного туплю.


Содержание

Сообщения в этом обсуждении
"Cicso 2801 ACL"
Отправлено xservices , 11-Окт-10 03:51 
Изменил вот так
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit ip host 8.8.4.4 any
access-list 101 permit tcp any any gt 1024
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 deny ip any any log


Интересует
access-list 101 permit tcp any any gt 1024
Как сделать ее именно на мой 21 порт?


"Cicso 2801 ACL"
Отправлено shadow_alone , 11-Окт-10 04:29 
> access-list 101 permit ip host 8.8.4.4 any

поменяйте на
access-list 101 permit udp any eq 53 any


> Интересует
> access-list 101 permit tcp any any gt 1024
> Как сделать ее именно на мой 21 порт?

Вот здесь непонятно что хотите.

вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно их открыть.


"Cicso 2801 ACL"
Отправлено xservices , 11-Окт-10 05:31 
>> access-list 101 permit ip host 8.8.4.4 any
> поменяйте на
> access-list 101 permit udp any eq 53 any
>> Интересует
>> access-list 101 permit tcp any any gt 1024
>> Как сделать ее именно на мой 21 порт?
> Вот здесь непонятно что хотите.
> вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно
> их открыть.

Спасибо все заработало. по фтр как посоветовали открыл диапазон 5000 5500