Добрый день!
Помогите начинающему, начал разбираться с cisco - возникают вопросы...
Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть.
Хочу резать соединения на 80й порт во внешнюю сеть
Делаю так:interface GigabitEthernet1/0/23
ip access-group 110 inaccess-list 110 permit icmp any any
access-list 110 deny tcp any any eq www
access-list 110 permit ip any anyСоединения не режутся. Почему? Как надо правильно сделать?
>Добрый день!
>Помогите начинающему, начал разбираться с cisco - возникают вопросы...
>Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть.
>Хочу резать соединения на 80й порт во внешнюю сеть
>Делаю так:
>
>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?А почему вы на интерфейс лист вешаете???
>А почему вы на интерфейс лист вешаете???Сорри, а как надо?
>>А почему вы на интерфейс лист вешаете???
>
>Сорри, а как надо?
Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
>>Сорри, а как надо?
>Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
Т.е. как сделал я работать не должно?
>>>Сорри, а как надо?
>>Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
>Т.е. как сделал я работать не должно?Я хотел просто побыстрее и попроще(?) объяснить, но лучше вам просто
всё прочитать и понять какой вариант вам нужен.
тут:
http://www.cisco.com/en/US/products/hw/switches/ps5023/produ...
>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024.
>У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024.Спасибо. Теперь всё понял.
Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе.access-list 110 permit icmp any any
access-list 110 deny tcp any eq www any gt 1024
access-list 110 permit ip any any
>Добрый день!
>Помогите начинающему, начал разбираться с cisco - возникают вопросы...
>Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть.
>Хочу резать соединения на 80й порт во внешнюю сеть
>Делаю так:
>
>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?Повесь этот acl не на in а на out
>Повесь этот acl не на in а на out
Верный совет. Хотя я бы и аксесс-лист переписал.
>>Соединения не режутся. Почему? Как надо правильно сделать?
>
>Повесь этот acl не на in а на outPort ACLs access-control traffic entering a Layer 2 interface. The switch does not support port ACLs in the outbound direction. You can apply only one IP access list and one MAC access list to a Layer 2 interface.
Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе.access-list 110 permit icmp any any
access-list 110 deny tcp any eq www any gt 1024
access-list 110 permit ip any any
Здравствуйте
У меня была точно такая ситуация
потом повесил
interface Vlan3
ip address 172.21.148.181 255.255.255.0
ip access-group 110 out
ip route-cache flow
и все заработало а на IN не работало
почему не работало на IN?