forum.opennet.ru - "ACL Cisco" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ACL Cisco"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ACL Cisco"
Сообщение от ayvengo (ok) on 29-Апр-06, 16:25
Добрый день всем! Возникла необходимость запретить одной подсети (172.16.3.0/24) устанавлить TCP/IP соединения с другой сетью (192.168.0.0/16) однако сеть 192.168.0.0/16 может быть инициатором соединения с сетью 172.16.3.0/24. По пытался сделать правила вот что у меня получилось ! interface Ethernet1/0 ip address 172.16.3.1 255.255.255.0 ip access-group 113 in ip nat inside full-duplex no cdp enable ! access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn access-list 113 permit ip 172.16.3.0 0.0.0.255 any после чего например делаю из сети 192.168.0.0/16 telnet 172.16.3.3 25 и все умирет по таймауту. Подскажите что я не так делаю?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

ACL Cisco, Олег, 12:18 , 01-Май-06, (1)

ACL Cisco, Олег, 12:22 , 01-Май-06, (2)

ACL Cisco, ayvengo, 13:28 , 01-Май-06, (3)

ACL Cisco, sh_, 15:04 , 01-Май-06, (4)

ACL Cisco, ayvengo, 16:04 , 01-Май-06, (5)

ACL Cisco, vorch, 15:16 , 03-Май-06, (6)

ACL Cisco, sh_, 15:56 , 03-Май-06, (7)

ACL Cisco, vorch, 10:24 , 04-Май-06, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "ACL Cisco"

Сообщение от Олег (??) on 01-Май-06, 12:18

>все умирет по таймауту. Подскажите что я не так делаю?
Попробуй добавить: access-list 113 permit tcp any any established

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ACL Cisco"

Сообщение от Олег (??) on 01-Май-06, 12:22

>
>>все умирет по таймауту. Подскажите что я не так делаю?
>
>Попробуй добавить: access-list 113 permit tcp any any established
И access-list 113 permit ip any any.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ACL Cisco"

Сообщение от ayvengo (??) on 01-Май-06, 13:28

>>
>>>все умирет по таймауту. Подскажите что я не так делаю?
>>
>>Попробуй добавить: access-list 113 permit tcp any any established
>
>И access-list 113 permit ip any any.
!
interface Ethernet1/0
ip address 172.16.3.1 255.255.255.0
ip access-group 113 in
ip nat inside
full-duplex
no cdp enable
!
access-list 113 deny   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit tcp any any established
access-list 113 permit ip any any
Тот же результат, telnet 172.16.3.3 25 и по таймаууту все отваливается. :-\

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "ACL Cisco"

Сообщение от sh_ (??) on 01-Май-06, 15:04

no access-list 113
access-list 113 permit tcp any any established
access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack
access-list 113 deny   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit ip any any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "ACL Cisco"

Сообщение от ayvengo (??) on 01-Май-06, 16:04

Спасибо большое заработало, только не совсем так как вы прислали. В вашем варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать вот так:
access-list 113 permit tcp any any established
access-list 113 deny   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn
access-list 113 permit ip any any
При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть 172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось. Еще раз всем спасибо!
>no access-list 113
>access-list 113 permit tcp any any established
>access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack
>access-list 113 deny   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
>access-list 113 permit ip any any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "ACL Cisco"

Сообщение от vorch on 03-Май-06, 15:16

>Спасибо большое заработало, только не совсем так как вы прислали. В вашем
>варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать
>вот так:
>access-list 113 permit tcp any any established
>access-list 113 deny   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn
>access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn
>access-list 113 permit ip any any
>При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть
>172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось.
>Еще раз всем спасибо!
Попутно есть такой вопрос к специалистам: что подразумевает под собой established. Я всегда предполагал, что подразумевает то, что отбрасываться будут только пакеты с установленным SYN флагом, остальные пропускаться. Тогда вместо трех строчек должно было бы хватить одной:
access-list 113 permit   tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 established
При случае постараюсь проверить на практике, но может кто ответит на вопрос?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "ACL Cisco"

Сообщение от sh_ (??) on 03-Май-06, 15:56

Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом из их заголовков будет установлен флажок syn.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "ACL Cisco"

Сообщение от vorch on 04-Май-06, 10:24

>Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом
>из их заголовков будет установлен флажок syn.
Все ясно. Спасибо

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ACL Cisco"
Сообщение от Олег (??) on 01-Май-06, 12:18
>все умирет по таймауту. Подскажите что я не так делаю? Попробуй добавить: access-list 113 permit tcp any any established
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "ACL Cisco"
	Сообщение от Олег (??) on 01-Май-06, 12:22
	> >>все умирет по таймауту. Подскажите что я не так делаю? > >Попробуй добавить: access-list 113 permit tcp any any established И access-list 113 permit ip any any.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "ACL Cisco"
	Сообщение от ayvengo (??) on 01-Май-06, 13:28
	>> >>>все умирет по таймауту. Подскажите что я не так делаю? >> >>Попробуй добавить: access-list 113 permit tcp any any established > >И access-list 113 permit ip any any. ! interface Ethernet1/0 ip address 172.16.3.1 255.255.255.0 ip access-group 113 in ip nat inside full-duplex no cdp enable ! access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn access-list 113 permit tcp any any established access-list 113 permit ip any any Тот же результат, telnet 172.16.3.3 25 и по таймаууту все отваливается. :-\
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "ACL Cisco"
	Сообщение от sh_ (??) on 01-Май-06, 15:04
	no access-list 113 access-list 113 permit tcp any any established access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn access-list 113 permit ip any any
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "ACL Cisco"
	Сообщение от ayvengo (??) on 01-Май-06, 16:04
	Спасибо большое заработало, только не совсем так как вы прислали. В вашем варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать вот так: access-list 113 permit tcp any any established access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn access-list 113 permit ip any any При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть 172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось. Еще раз всем спасибо! >no access-list 113 >access-list 113 permit tcp any any established >access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn ack >access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn >access-list 113 permit ip any any
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "ACL Cisco"
	Сообщение от vorch on 03-Май-06, 15:16
	>Спасибо большое заработало, только не совсем так как вы прислали. В вашем >варианте сеть 172.16.3.0 могла устанавливать соединение с 192.168.0.0 нужно было сделать >вот так: >access-list 113 permit tcp any any established >access-list 113 deny tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 syn >access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 ack syn >access-list 113 permit ip any any >При таком варианте сеть 192.168.0.0/16 может устанавливать соединение с 172.16.3.0/24 но сеть >172.16.3.0 не может установить соединение с 192.168.0.0/16 что собственно и требовалось. >Еще раз всем спасибо! Попутно есть такой вопрос к специалистам: что подразумевает под собой established. Я всегда предполагал, что подразумевает то, что отбрасываться будут только пакеты с установленным SYN флагом, остальные пропускаться. Тогда вместо трех строчек должно было бы хватить одной: access-list 113 permit tcp 172.16.3.0 0.0.0.255 192.168.0.0 0.0.255.255 established При случае постараюсь проверить на практике, но может кто ответит на вопрос?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "ACL Cisco"
	Сообщение от sh_ (??) on 03-Май-06, 15:56
	Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом из их заголовков будет установлен флажок syn.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "ACL Cisco"
	Сообщение от vorch on 04-Май-06, 10:24
	>Чтобы tcp соединение было established, должно пройти 3 tcp пакета. В каждом >из их заголовков будет установлен флажок syn. Все ясно. Спасибо
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]