URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7666
[ Назад ]

Исходное сообщение
"настройка acl"
Отправлено Алексей , 07-Апр-05 16:49

Здраствуйте все.
Ситуация.
Пока для интерфейса не указана следующая строка, трафик идет:
ip access-group 110 in,
как только эту строчку прописываешь, трафик пропадает.
Как выглядит access-list 110:
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log
access-list 110 permit icmp any any net-unreachable
access-list 110 permit icmp any any host-unreachable
access-list 110 permit icmp any any port-unreachable
access-list 110 permit icmp any any parameter-problem
access-list 110 permit icmp any any packet-too-big
access-list 110 permit icmp any any administratively-prohibited
access-list 110 permit icmp any any source-quench
access-list 110 permit icmp any any echo-reply log
access-list 110 permit icmp any any ttl-exceeded
access-list 110 deny icmp any any
и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при применении приведенных access-листов?
Просьба сильно не пинать начинающего.

Содержание

настройка acl,roger, 17:02 , 07-Апр-05
- настройка acl,Алексей, 17:25 , 07-Апр-05
  - настройка acl,sh_, 22:51 , 07-Апр-05
    - настройка acl,Алексей, 20:13 , 08-Апр-05
      - настройка acl,roger, 21:29 , 08-Апр-05
  - настройка acl,roger, 20:10 , 08-Апр-05
    - настройка acl,Алексей, 20:19 , 08-Апр-05
настройка acl,Shod, 07:48 , 08-Апр-05

Сообщения в этом обсуждении

"настройка acl"
Отправлено roger , 07-Апр-05 17:02

>Здраствуйте все.
>Ситуация.
>
>Пока для интерфейса не указана следующая строка, трафик идет:
>ip access-group 110 in,
>как только эту строчку прописываешь, трафик пропадает.
>
>Как выглядит access-list 110:
>......... SKIP ....................
>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>применении приведенных access-листов?
>Просьба сильно не пинать начинающего
ВОПРОС: А какой траффик пропадает?! :)))

"настройка acl"
Отправлено Алексей , 07-Апр-05 17:25

>>Здраствуйте все.
>>Ситуация.
>>
>>Пока для интерфейса не указана следующая строка, трафик идет:
>>ip access-group 110 in,
>>как только эту строчку прописываешь, трафик пропадает.
>>
>>Как выглядит access-list 110:
>>......... SKIP ....................
>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>применении приведенных access-листов?
>>Просьба сильно не пинать начинающего
>
>ВОПРОС: А какой траффик пропадает?! :)))
Пропадает http трафик. Пинг проходит.

"настройка acl"
Отправлено sh_ , 07-Апр-05 22:51

Пропадает ТОЛЬКО http траффик?
Конфиг покажите, если не сложно...

"настройка acl"
Отправлено Алексей , 08-Апр-05 20:13

>Пропадает ТОЛЬКО http траффик?
>Конфиг покажите, если не сложно...
Вот мой конфиг:
rcde-ivanovo-gw#sh running-config
Building configuration...
Current configuration : 3042 bytes
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
hostname rcde-ivanovo-gw
logging queue-limit 100
logging buffered 4096 debugging
clock timezone MSK 3
ip subnet-zero
ip audit notify log
ip audit po max-events 100
!
call rsvp-sync
interface FastEthernet0/0
ip address 192.168.100.51 255.255.255.224
speed 10
half-duplex
!
interface FastEthernet0/1
ip address 63.85.247.201 255.255.255.248
ip access-group 120 in
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.100.33
no ip http server
!
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log
access-list 110 permit icmp any any net-unreachable
access-list 110 permit icmp any any host-unreachable
access-list 110 permit icmp any any port-unreachable
access-list 110 permit icmp any any parameter-problem
access-list 110 permit icmp any any packet-too-big
access-list 110 permit icmp any any administratively-prohibited
access-list 110 permit icmp any any source-quench
access-list 110 permit icmp any any echo-reply log
access-list 110 permit icmp any any ttl-exceeded
access-list 110 deny icmp any any
access-list 120 permit ip any any
access-list 120 permit icmp any any net-unreachable
access-list 120 permit icmp any any host-unreachable
access-list 120 permit icmp any any port-unreachable
access-list 120 permit icmp any any parameter-problem
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit icmp any any source-quench
access-list 120 permit icmp any any echo-reply log
access-list 120 permit icmp any any ttl-exceeded
access-list 120 deny icmp any any
snmp-server community public1 RO
snmp-server enable traps tty
!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
login
!
end

"настройка acl"
Отправлено roger , 08-Апр-05 21:29

>>Пропадает ТОЛЬКО http траффик?
>>Конфиг покажите, если не сложно...
>
>Вот мой конфиг:
>rcde-ivanovo-gw#sh running-config
>Building configuration...
>
>interface FastEthernet0/1
> ip address 63.85.247.201 255.255.255.248
> ip access-group 120 in
> duplex auto
> speed auto
Наверное вы имелли ввиду
ip access-group 120 out ....
Потому что в ином случае всё написано с точностью наоборот ....

Данный акксесс лист пропускает всех кто пришёл через интерфейс Fa0/1 на айпишники 63.85.247.20x .... Тоесть совсем наборот ....

"настройка acl"
Отправлено roger , 08-Апр-05 20:10

>>>Здраствуйте все.
>>>Ситуация.
>>>
>>>Пока для интерфейса не указана следующая строка, трафик идет:
>>>ip access-group 110 in,
>>>как только эту строчку прописываешь, трафик пропадает.
>>>
>>>Как выглядит access-list 110:
>>>......... SKIP ....................
>>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>>применении приведенных access-листов?
>>>Просьба сильно не пинать начинающего
>>
>>ВОПРОС: А какой траффик пропадает?! :)))
>Пропадает http трафик. Пинг проходит.
Какой HTTP траффик пропадает?! (На какой хост? )
Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248 (201,202,203,204,205,206,207) ...

"настройка acl"
Отправлено Алексей , 08-Апр-05 20:19

>>>>Здраствуйте все.
>>>>Ситуация.
>>>>
>>>>Пока для интерфейса не указана следующая строка, трафик идет:
>>>>ip access-group 110 in,
>>>>как только эту строчку прописываешь, трафик пропадает.
>>>>
>>>>Как выглядит access-list 110:
>>>>......... SKIP ....................
>>>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>>>применении приведенных access-листов?
>>>>Просьба сильно не пинать начинающего
>>>
>>>ВОПРОС: А какой траффик пропадает?! :)))
>>Пропадает http трафик. Пинг проходит.
>
>Какой HTTP траффик пропадает?! (На какой хост? )
>
>Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248
>(201,202,203,204,205,206,207) ...
Да при применении этих access-листов в эту сеть доступ есть, эта сеть DMZ, один из этих ip адресов имеет ISA, который стоит на границе в LAN.
Т.е., я немного не договорил, http трафик пропадает на компах в LANe.

"настройка acl"
Отправлено Shod , 08-Апр-05 07:48

>access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>применении приведенных access-листов?
>Просьба сильно не пинать начинающего.
листы прописаны неправильно
ты этими листами разрешаешь клиентские обращения снаружи к своим серверным ресурсам :)
надо
access-list 110 permit tcp any eq www 62.89.247.200 0.0.0.7 log
если ты хочешь чтоб снаружи чтото от ВВВ приходило