URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21735
[ Назад ]

Исходное сообщение
"Cicso 2801 ACL"
Отправлено xservices , 11-Окт-10 02:30

Есть циска 2801.
Требуется простое
На входящие обрубать все кроме 21,22,2020,80,110,25,3306 ну и кроме за 1024.
Попробовал написать вот так
ip access-group 101 in
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
access-list 101 deny ip any any log

Вопросы.
Когда написал такое правило на 20.0/24 серверах пропала возможность резолвить ип.
ping ya.ru и пишет что не могу отрезольвить.
И второе по
access-list 101 permit tcp any any range 1024 6000
access-list 101 permit udp any any range 1024 6000
какой диапазон указывать что работали нормально службы.
Как известно мне что порт 80 отвечает на другие порты.
Или это уже входит в established?
Помогите советом, новичок немного туплю.

Содержание

Cicso 2801 ACL,xservices, 03:51 , 11-Окт-10
- Cicso 2801 ACL,shadow_alone, 04:29 , 11-Окт-10
  - Cicso 2801 ACL,xservices, 05:31 , 11-Окт-10

Сообщения в этом обсуждении

"Cicso 2801 ACL"
Отправлено xservices , 11-Окт-10 03:51

Изменил вот так
access-list 101 permit tcp any any established
access-list 101 permit icmp any any
access-list 101 permit udp any any eq 53
access-list 101 permit tcp any any eq 53
access-list 101 permit ip host 8.8.4.4 any
access-list 101 permit tcp any any gt 1024
access-list 101 permit tcp any host 192.168.20.4 eq 21
access-list 101 permit tcp any host 192.168.20.4 eq 20
access-list 101 permit tcp any host 192.168.20.4 eq 80
access-list 101 permit tcp any host 192.168.20.4 eq 2020
access-list 101 permit tcp any host 192.168.20.5 eq 110
access-list 101 permit tcp any host 192.168.20.5 eq 25
access-list 101 permit tcp any host 192.168.20.6 eq 3306
access-list 101 deny ip any any log

Интересует
access-list 101 permit tcp any any gt 1024
Как сделать ее именно на мой 21 порт?

"Cicso 2801 ACL"
Отправлено shadow_alone , 11-Окт-10 04:29

> access-list 101 permit ip host 8.8.4.4 any
поменяйте на
access-list 101 permit udp any eq 53 any

> Интересует
> access-list 101 permit tcp any any gt 1024
> Как сделать ее именно на мой 21 порт?
Вот здесь непонятно что хотите.
вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно их открыть.

"Cicso 2801 ACL"
Отправлено xservices , 11-Окт-10 05:31

>> access-list 101 permit ip host 8.8.4.4 any
> поменяйте на
> access-list 101 permit udp any eq 53 any
>> Интересует
>> access-list 101 permit tcp any any gt 1024
>> Как сделать ее именно на мой 21 порт?
> Вот здесь непонятно что хотите.
> вообще-то на FTP можно указать конкретные порты для пассивных соединений и именно
> их открыть.
Спасибо все заработало. по фтр как посоветовали открыл диапазон 5000 5500