Есть циска 2801.
Требуется простое
На входящие обрубать все кроме 21,22,2020,80,110,25,3306 ну и кроме за 1024.Попробовал написать вот так
ip access-group 101 in
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
access-list 101 deny ip any any log
Вопросы.
Когда написал такое правило на 20.0/24 серверах пропала возможность резолвить ип.
ping ya.ru и пишет что не могу отрезольвить.
И второе по
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
какой диапазон указывать что работали нормально службы.
Как известно мне что порт 80 отвечает на другие порты.
Или это уже входит в established?
Помогите советом, новичок немного туплю.
Изменил вот так
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit ip host 8.8.4.4 any
access-list 101 permit tcp any any gt 1024
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 deny ip any any log
Интересует
access-list 101 permit tcp any any gt 1024
Как сделать ее именно на мой 21 порт?
> access-list 101 permit ip host 8.8.4.4 anyпоменяйте на
access-list 101 permit udp any eq 53 any
> Интересует
> access-list 101 permit tcp any any gt 1024
> Как сделать ее именно на мой 21 порт?Вот здесь непонятно что хотите.
вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно их открыть.
>> access-list 101 permit ip host 8.8.4.4 any
> поменяйте на
> access-list 101 permit udp any eq 53 any
>> Интересует
>> access-list 101 permit tcp any any gt 1024
>> Как сделать ее именно на мой 21 порт?
> Вот здесь непонятно что хотите.
> вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно
> их открыть.Спасибо все заработало. по фтр как посоветовали открыл диапазон 5000 5500