- Access-list, ilya, 15:36 , 22-Июл-06 (1)
- Access-list, chuvy, 16:04 , 22-Июл-06 (2)
>конфиг в студию ip access-list extended deny_in_to_eth0/1 deny ip any 192.168.2.0 0.0.0.255 log прикольно все заприщаешь и еще что-то хочешь чтоб работалоpermit tcp any 192.168.2.0 0.0.0.255 established permit tcp any 192.168.2.0 0.0.0.255 gt 1025 permit udp any 192.168.2.0 0.0.0.255 gt 1025 deny ip any network само просто
- Access-list, rimon, 16:25 , 22-Июл-06 (4)
>>конфиг в студию >ip access-list extended deny_in_to_eth0/1 > deny ip any 192.168.2.0 0.0.0.255 log >прикольно >все заприщаешь и еще что-то хочешь чтоб работало > >permit tcp any 192.168.2.0 0.0.0.255 established >permit tcp any 192.168.2.0 0.0.0.255 gt 1025 >permit udp any 192.168.2.0 0.0.0.255 gt 1025 >deny ip any network > >само просто Не знаю правильно ли это. Ведь я запрещаж RDP - 3389. А ты открываешь выше 1025. И потом как на интерфейс этот АCL загнать?
- Access-list, rimon, 16:13 , 22-Июл-06 (3)
>конфиг в студию interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 192.168.1.2 255.255.255.0 ip access-group permit_out_from_eth01 in no ip directed-broadcast ! interface Serial0 no ip address no ip directed-broadcast encapsulation frame-relay IETF ! interface Serial0.1 point-to-point ip address 11.11.11.2 255.255.255.252 no ip directed-broadcast frame-relay interface-dlci 16 ! ip access-list extended permit_out_from_eth01 permit tcp 192.168.2.0 0.0.0.255 any established log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 deny ip any any log ! ip access-list extended deny_in_to_eth01 deny ip any 192.168.2.0 0.0.0.255 log !
- Access-list, ilya, 16:29 , 22-Июл-06 (5)
>>конфиг в студию > >interface Ethernet0/0 > ip address 192.168.1.1 255.255.255.0 > no ip directed-broadcast >! >interface Ethernet0/1 > ip address 192.168.1.2 255.255.255.0 > ip access-group permit_out_from_eth01 in > no ip directed-broadcast >! >interface Serial0 > no ip address > no ip directed-broadcast > encapsulation frame-relay IETF >! >interface Serial0.1 point-to-point > ip address 11.11.11.2 255.255.255.252 > no ip directed-broadcast > frame-relay interface-dlci 16 >! >ip access-list extended permit_out_from_eth01 > permit tcp 192.168.2.0 0.0.0.255 any established log > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www >log > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www > > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 > > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 > > deny ip any any log >! >ip access-list extended deny_in_to_eth01 > deny ip any 192.168.2.0 0.0.0.255 log >! 1. у вас два эзернета смотрящих в одну сеть? 2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 ?
- Access-list, rimon, 16:42 , 22-Июл-06 (6)
>>>конфиг в студию >> >>interface Ethernet0/0 >> ip address 192.168.1.1 255.255.255.0 >> no ip directed-broadcast >>! >>interface Ethernet0/1 >> ip address 192.168.1.2 255.255.255.0 >> ip access-group permit_out_from_eth01 in >> no ip directed-broadcast >>! >>interface Serial0 >> no ip address >> no ip directed-broadcast >> encapsulation frame-relay IETF >>! >>interface Serial0.1 point-to-point >> ip address 11.11.11.2 255.255.255.252 >> no ip directed-broadcast >> frame-relay interface-dlci 16 >>! >>ip access-list extended permit_out_from_eth01 >> permit tcp 192.168.2.0 0.0.0.255 any established log >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www >>log >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www >> >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 >> >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 >> >> deny ip any any log >>! >>ip access-list extended deny_in_to_eth01 >> deny ip any 192.168.2.0 0.0.0.255 log >>! > > >1. у вас два эзернета смотрящих в одну сеть? >2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 >? Опечатка. сеть 192.168.2.0/24 И eth0/1 192.168.2.1/24
- Access-list, limit, 14:45 , 10-Авг-06 (7)
Посмотри лог файрволла и разреши, то что они пытаются сделать. А что за хосты: 172.16.20.х? Это все, что угодно? Предполагаю, что правильнее: permit tcp 192.168.2.0 0.0.0.255 any eq www
|