OpenForum RSS: Помогите написать access-list https://opennet.ru/openforum/vsluhforumID6/20158.html Подскажите, как грамотно написать access-list для такой задачи:<br><br>Есть cisco2811, смотрит интерфейсом FastEthernet0/0 на провайдера со статическим адресом<br>ХXX.141.200.134, вторым интерфейсом смотрит в локалку. Поднят nat, из локальной сети (192.168.0.0/16) клиенты ходят через этот маршрутизатор в Интернет. Внутри сети есть 2 сервера. На одном (192.168.1.10) web-сервер, к которому нужно открыть доступ со всего интернета, на другом (192.168.1.5) - сервер, к которому нужно разрешить доступ из интернета по порту 22 только с адреса xxx.xxx.xxx.xxx.<br>Сейчас в конфиге:<br><br>ip nat inside source list 100 interface FastEthernet0/0 overload<br>ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable<br>ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable<br><br>access-list 100 permit ip 192.168.0.0 0.0.255.255 any<br><br>При этом клиенты из локалки выходят в интернет, и с любых адресов из интернета доступны и 80 и 22 порт внутренних серверов. Что еще нужно написать, чтобы 80 порт осталс Помогите написать access-list (Николай) https://opennet.ru/openforum/vsluhforumID6/20158.html#2 Thu, 03 Dec 2009 13:18:09 GMT &gt;[оверквотинг удален]<br>&gt;ip nat inside source list 100 interface FastEthernet0/0 overload <br>&gt;ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable <br>&gt;ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable <br>&gt;<br>&gt;access-list 100 permit ip 192.168.0.0 0.0.255.255 any <br>&gt;<br>&gt;При этом клиенты из локалки выходят в интернет, и с любых адресов <br>&gt;из интернета доступны и 80 и 22 порт внутренних серверов. Что <br>&gt;еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 <br>&gt;порт только с xxx.xxx.xxx.xxx. <br><br>ip access-list ext ssh-orig-ip<br>permit tcp host xxx.xxx.xxx.xxx host XXX.141.200.134 eq 22 <br>deny tcp any any eq 22<br>permit ip any any<br><br>int fa 0/0<br>ip access-group ssh-orig-ip in<br><br><br> Помогите написать access-list (Александр) https://opennet.ru/openforum/vsluhforumID6/20158.html#1 Thu, 03 Dec 2009 13:11:10 GMT &gt;[оверквотинг удален]<br>&gt;ip nat inside source list 100 interface FastEthernet0/0 overload <br>&gt;ip nat inside source static tcp 192.168.1.5 22 XXX.141.200.134 22 extendable <br>&gt;ip nat inside source static tcp 192.168.1.10 80 XXX.141.200.134 80 extendable <br>&gt;<br>&gt;access-list 100 permit ip 192.168.0.0 0.0.255.255 any <br>&gt;<br>&gt;При этом клиенты из локалки выходят в интернет, и с любых адресов <br>&gt;из интернета доступны и 80 и 22 порт внутренних серверов. Что <br>&gt;еще нужно написать, чтобы 80 порт остался доступен отовсюду, а 22 <br>&gt;порт только с xxx.xxx.xxx.xxx. <br><br>access-list какой-нибудь на outside есть?<br>допишите туда правила для доступа от определенного источника на 22 порт на outside<br>другим закройте.<br><br><br>