https://opennet.me/openforum/vsluhforumID6/22127.html Здравствуйте!<br><br>Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но как только применяем ACL хост теряет IP адрес и не пингует нужны хосты.<br><br>access-list 100 permit ip host 172.16.1.8 host 172.16.1.1<br>access-list 100 permit tcp host 172.16.1.8 host 172.16.1.1<br>access-list 100 permit udp host 172.16.1.8 host 172.16.1.1<br>access-list 100 permit ip host 172.16.1.8 host 172.16.1.2<br>access-list 100 permit tcp host 172.16.1.8 host 172.16.1.2<br>access-list 100 permit udp host 172.16.1.8 host 172.16.1.2<br>access-list 100 permit ip host 172.16.1.8 host 172.16.1.3<br>access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3<br>access-list 100 permit udp host 172.16.1.8 host 172.16.1.3<br>access-list 100 permit ip host 172.16.1.8 host 172.16.1.254<br>access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254<br>access-list 100 permit udp host 172.16.1.8 host 172.16.1.254<br>access-list 100 deny ip any any<br>access-list 100 deny tcp any any<br>access-list 100 deny udp any any<br> https://opennet.me/openforum/vsluhforumID6/22127.html#12 Mon, 17 Jan 2011 10:10:28 GMT Всем спасибо за участие! Разобрались, изменили направление ACL и все заработало. На udp прописали any (конечно осталась дыра) но хоть так и на этом хорошо. <br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#11 Mon, 17 Jan 2011 08:54:13 GMT &gt; permit udp any eq bootpc any eq bootpc?<br><br>именнно any - я же написал broadcast. Читайте про работу dhcp. <br>Broadcast не пройдет через правило permit ip host host<br> https://opennet.me/openforum/vsluhforumID6/22127.html#10 Mon, 17 Jan 2011 08:48:35 GMT permit udp any eq bootpc any eq bootpc?<br><br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#9 Mon, 17 Jan 2011 08:40:22 GMT <br>&gt; DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.<br><br>Так вроде DHCP использует порты UDP 67 и 68. Мы разрешили все по UDP. Контроллер на win2008, может в этом проблема?<br><br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#8 Mon, 17 Jan 2011 08:22:29 GMT &gt;&gt; Если хотите пинговать, то разрешите icmp <br>&gt;&gt; access-list 100 permit icmp ...<br>&gt; Дело не в пинге. Хост почему то не получает IP-адрес.<br>&gt; Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp <br>&gt; host 172.16.1.8 host 172.16.1.1 <br><br>DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.<br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#7 Mon, 17 Jan 2011 08:16:40 GMT &gt; Если хотите пинговать, то разрешите icmp <br>&gt; access-list 100 permit icmp ...<br><br>Дело не в пинге. Хост почему то не получает IP-адрес.<br>Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp host 172.16.1.8 host 172.16.1.1<br><br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#6 Mon, 17 Jan 2011 05:59:55 GMT Если хотите пинговать, то разрешите icmp<br>access-list 100 permit icmp ...<br><br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#5 Mon, 17 Jan 2011 04:23:13 GMT &gt; Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение <br>&gt; DHCP?<br><br>Нет, не получает. В том то и дело. А правило проиписано по UDP.<br>access-list 100 permit udp host 172.16.1.8 host 172.16.1.1<br><br> https://opennet.me/openforum/vsluhforumID6/22127.html#4 Mon, 17 Jan 2011 02:47:34 GMT &gt; Здравствуйте!<br>&gt; Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но <br>&gt; как только применяем ACL хост теряет IP адрес и не пингует <br>&gt; нужны хосты.<br><br>Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение DHCP?<br>