> Если вы хотите знать больше, начините с прочтения о том, в чем
> разница в работе TCP и UDP, к какому уровню модели OSI
> относиться ICMP.Йошкин ты кот!.. Простите, эмоции.
Почему каждый умник считает своим долгом напомнить про модель OSI, но не удосуживается прочитать сообщение полностью?! Впрочем, рассуждать о различиях udp, tcp, icmp не станем...
> Если вы разрешаете соединение типа established - к вам снаружи пройдут только
> те пакеты, которые инициированы вами изнутри. И это могут быть только
> TCP-пакеты, потому что у UDP нет понятия "установленного соединения". UDP пакеты
> изнутри к вам не пройдут, пока вы явно это не разрешите
> (либо не разрешите весь ip).
Именно! Раз Вы не читаете мои сообщения, я цитаты из них приведу (первое сообщение, про вариант А):
"Так работает! Но мне не нравится то, что доступ от АдмПк к сети 1С будет лишь по протоколу tcp - из-за ограничений established."
Вариант настройки extended acl меня _именно_ поэтому и не устраивает.
>Упоминания ICMP в ваших ACL я вообще не увидел.
Первое сообщение, про вариант А (ip access-list extended outAdmins):
permit icmp 10.21.0.0 0.0.0.255 host 10.0.0.2 echo-reply
> Тогда, возможно, у вас отпадет необходимость выдумывать какие-то странные
> конструкции, о которым мы здесь с вами говорим.
Эти какие-то странные конструкции носят название reflexive acl и должны решать описанную мною проблему.
Ну нет у меня ни циски AS, ни циски фаервола (хотя может AS это и есть фаервол) - потому я пытаюсь реализовать свои потребности на том, что есть. А именно на Catalyst 3560X.
В целом тема уже загадилась - можете писать тут что угодно, я создам отдельную тему про reflexive acl. А жаль, потому как reflex acl, возможно, не единственное и не лучшее решение описанной задачи.