https://slinkov.ru/openforum/vsluhforumID6/19810.html Значится проблемка следующая: есть ГИГА-сеть (образно) связана OSPF`ом.<br>Область одна. Настраиваю access-list`ы. Для полной безопасности (в статье http://www.opennet.ru/docs/RUS/cisco_sec/ так сказано) прописал для ICMP:<br>! Allow fragmentation needed messages (type 3 code 4)<br> permit icmp any any packet-too-big<br>! Allow outbound ping and MS style traceroute (type 0)<br> permit icmp any any echo-reply<br>! Uncomment to allow ping to the inside net (type 8)<br> permit icmp any any echo <br>! Uncomment to allow traceroute !<br> permit icmp any any ttl-exceeded<br>Все бы ничего, но traceroute с КИСКИ идет до узла 192.168.1.1 и спотыкается. В логах записи следующие:<br>*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in permitted icmp 192.168.1.3 -&gt; 192.168.1.4 (8/0), 1 packet<br>*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in permitted icmp 192.168.1.1 -&gt; 192.168.1.4 (8/0), 1 packet<br>*Oct хх 03:45:18.751: %SEC-6-IPACCESSLOGDP: list ge1-in denied icmp 192.168.0.15 -&gt; 192.168.1.4 (3/3), 1 packet<br>т.е. в нижней строке п https://slinkov.ru/openforum/vsluhforumID6/19810.html#4 Mon, 19 Oct 2009 01:53:11 GMT Спасибо ВАМ maxim за ответ на мой может быть глупый вопрос.<br>&gt;<br>&gt;permit icmp any any unreachable откроет все коды для 3го типа icmp <br>&gt;Это уж как хотите - все открывать или только нужный код <br>&gt;<br><br>Я прислушался к Вашим советам - сделал так permit icmp any any port-unreachable, который как раз имеет вид permit icmp any any 3 3. А остальные дыры считаю не нужными.<br>Спасибо еще раз за советы и ответы на мои вопросы.<br>Считаю тему можно закрыть. <br><br> https://slinkov.ru/openforum/vsluhforumID6/19810.html#3 Thu, 15 Oct 2009 06:47:57 GMT &gt; Если не затруднит, правильно ли я понял: icmp any any 3 <br>&gt;3 - в моем конфиге будет <br>&gt; вроде permit icmp any any unreachable. <br>&gt;Если ошибаюсь - поправьте пожалуйста. <br>&gt;Еще раз Спасибо. <br><br>permit icmp any any unreachable откроет все коды для 3го типа icmp Это уж как хотите - все открывать или только нужный код<br><br>&gt;<br>&gt;P.S. <br>&gt; Расшифруйте ПЛИЗ "unreachable", что означает <br><br>"недостижимый" означает что отправленный udp пакет уткнулся в закрытый udp порт. <br> https://slinkov.ru/openforum/vsluhforumID6/19810.html#2 Thu, 15 Oct 2009 05:54:24 GMT &gt;День добрый. Как видно из лога у вас закрыт icmp type 3 <br>&gt;code 3 - те destination unreachable/port unreachable, соответственно нужно открыть permit <br>&gt;icmp any any 3 3 Почему проходит с компьютера - можно <br>&gt;предположить что там у вас windows tracert, работа которого отличается от <br>&gt;работы traceroute cisco и nix (в первом случае только icmp <br>&gt;используется, во втором по умолчанию еще и udp)<br><br>Спасибо ВАМ за ответ.<br>Про то, что (3/3) - это тип 3 код 3 ICMP я оч-е-е-нь далеко догадывался.<br> Если не затруднит, правильно ли я понял: icmp any any 3 3 - в моем конфиге будет<br> вроде permit icmp any any unreachable.<br>Если ошибаюсь - поправьте пожалуйста.<br>Еще раз Спасибо.<br><br>P.S.<br> Расшифруйте ПЛИЗ "unreachable", что означает<br> https://slinkov.ru/openforum/vsluhforumID6/19810.html#1 Thu, 15 Oct 2009 05:02:05 GMT &gt;т.е. в нижней строке почему-то запрет идет. 1-ый ВОПРОС - почему. И <br>&gt;2-ой - что означает запись в скобках "(3/3)". <br><br>День добрый. Как видно из лога у вас закрыт icmp type 3 code 3 - те destination unreachable/port unreachable, соответственно нужно открыть permit icmp any any 3 3 Почему проходит с компьютера - можно предположить что там у вас windows tracert, работа которого отличается от работы traceroute cisco и nix (в первом случае только icmp используется, во втором по умолчанию еще и udp)<br>