Исходное сообщение
"ACL: две сети, базовая настройка" Отправлено stakado, 08-Дек-15 17:19
> Если вы хотите знать больше, начините с прочтения о том, в чем > разница в работе TCP и UDP, к какому уровню модели OSI > относиться ICMP. Йошкин ты кот!.. Простите, эмоции. Почему каждый умник считает своим долгом напомнить про модель OSI, но не удосуживается прочитать сообщение полностью?! Впрочем, рассуждать о различиях udp, tcp, icmp не станем... > Если вы разрешаете соединение типа established - к вам снаружи пройдут только > те пакеты, которые инициированы вами изнутри. И это могут быть только > TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты > изнутри к вам не пройдут, пока вы явно это не разрешите > (либо не разрешите весь ip). Именно! Раз Вы не читаете мои сообщения, я цитаты из них приведу (первое сообщение, про вариант А): "Так работает! Но мне не нравится то, что доступ от АдмПк к сети 1С будет лишь по протоколу tcp - из-за ограничений established." Вариант настройки extended acl меня _именно_ поэтому и не устраивает. >Упоминания ICMP в ваших ACL я вообще не увидел. Первое сообщение, про вариант А (ip access-list extended outAdmins): permit icmp 10.21.0.0 0.0.0.255 host 10.0.0.2 echo-reply > Тогда, возможно, у вас отпадет необходимость выдумывать какие-то странные > конструкции, о которым мы здесь с вами говорим. Эти какие-то странные конструкции носят название reflexive acl и должны решать описанную мною проблему. Ну нет у меня ни циски AS, ни циски фаервола (хотя может AS это и есть фаервол) - потому я пытаюсь реализовать свои потребности на том, что есть. А именно на Catalyst 3560X. В целом тема уже загадилась - можете писать тут что угодно, я создам отдельную тему про reflexive acl. А жаль, потому как reflex acl, возможно, не единственное и не лучшее решение описанной задачи.