URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7821
[ Назад ]

Исходное сообщение
"Пропадает траффик"
Отправлено al_m , 26-Апр-05 15:42

Доброго времени!
Конфигурация такая: есть роутер Cisco 2600, стоящий файерволом на границе DMZ-WAN, который интерфейсом fa0/0 с приватным ip (192.168.100.50) включен в сеть провайдера. Внешний же ip подключен в DMZ. В DMZ также находится комп являющийся шлюзом в локальную сеть.Конфиг:
Current configuration : 3274 bytes
!
! Last configuration change at 12:17:40 MSK Tue Apr 26 2005
! NVRAM config last updated at 19:08:07 MSK Thu Apr 21 2005
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname
logging queue-limit 100
logging buffered 4096 debugging
enable secret 5
enable password
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 192.168.100.50 255.255.255.224
speed 10
half-duplex
!
interface FastEthernet0/1
ip address 62.89.247.201 255.255.255.248
ip access-group 120 in
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.100.33
no ip http server
!
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log
access-list 110 permit icmp any any net-unreachable
access-list 110 permit icmp any any host-unreachable
access-list 110 permit icmp any any port-unreachable
access-list 110 permit icmp any any parameter-problem
access-list 110 permit icmp any any packet-too-big
access-list 110 permit icmp any any administratively-prohibited
access-list 110 permit icmp any any source-quench
access-list 110 permit icmp any any echo-reply log
access-list 110 permit icmp any any ttl-exceeded
access-list 110 deny icmp any any
access-list 120 permit ip any any
access-list 120 permit icmp any any net-unreachable
access-list 120 permit icmp any any host-unreachable
access-list 120 permit icmp any any port-unreachable
access-list 120 permit icmp any any parameter-problem
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit icmp any any source-quench
access-list 120 permit icmp any any echo-reply log
access-list 120 permit icmp any any ttl-exceeded
access-list 120 deny icmp any any
snmp-server community public1 RO
snmp-server enable traps tty
!
dial-peer cor custom
line con 0
line aux 0
line vty 0 4
password
login
!
В приведенном конфиге на интерфейсе fa0/0 нет назначенной access-group,а по идее там должно быть следующее "ip access-group 110 in".
Но как только прописываешь это дело на интерфейс, пропадает http трафик в локалке.
Господа, подскажите что может быть не так с этим конфигом ?

Содержание

Пропадает траффик,denn, 16:02 , 26-Апр-05
- Пропадает траффик,al_m, 16:47 , 26-Апр-05
- Пропадает траффик,al_m, 16:58 , 26-Апр-05
Пропадает траффик,al_m, 16:54 , 26-Апр-05
- Пропадает траффик,denn, 17:12 , 26-Апр-05
  - Пропадает траффик,al_m, 20:49 , 26-Апр-05
    - Пропадает траффик,Lacunacoil, 10:01 , 27-Апр-05

Сообщения в этом обсуждении

"Пропадает траффик"
Отправлено denn , 26-Апр-05 16:02

может я ии не заметил.. но не нашел разрешения 62 сетке на выход

"Пропадает траффик"
Отправлено al_m , 26-Апр-05 16:47

>может я ии не заметил.. но не нашел разрешения 62 сетке на
>выход

"Пропадает траффик"
Отправлено al_m , 26-Апр-05 16:58

>может я ии не заметил.. но не нашел разрешения 62 сетке на
>выход
А можно поподробнее? Что нужно добавить ?

"Пропадает траффик"
Отправлено al_m , 26-Апр-05 16:54

не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует ...

"Пропадает траффик"
Отправлено denn , 26-Апр-05 17:12

>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>...
access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
например

"Пропадает траффик"
Отправлено al_m , 26-Апр-05 20:49

>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>>...
>
>access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
>например
при таком раскладе мне придется еще в строке "ip access-group 10 in" изменить на "out"? Сделал я так, но почему же не работает мой исходный конфиг? Там ведь тоже самое, только получатели и источники местами поменять и in на out.

"Пропадает траффик"
Отправлено Lacunacoil , 27-Апр-05 10:01

>>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>>>...
>>
>>access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
>>например
>
>при таком раскладе мне придется еще в строке "ip access-group 10 in"
>изменить на "out"? Сделал я так, но почему же не работает
>мой исходный конфиг? Там ведь тоже самое, только получатели и источники
>местами поменять и in на out.
Нет менять ненадо in на out.
in имеется ввиду: входящие пакеты в интерфейс, они могут выходить из другова интерфейса и входить в этот.
>Там ведь тоже самое, только получатели и источники
>местами поменять и in на out.

Так как нужно разрешать доступ не только к твоей сети ну и от твоей сети, одновременно !