forum.opennet.ru - "помогите разобраться плиииииз!" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"помогите разобраться плиииииз!"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"помогите разобраться плиииииз!"
Сообщение от user (??) on 31-Авг-06, 12:24
все перестает работать после того как прикручиваю к gi 0/0 ip access-group nick in ip access-group nick_out out interface GigabitEthernet0/0 ip address 192.168.5.230 255.255.255.0 ip access-group nick in ip access-group nick_out out ip nat outside ip virtual-reassembly duplex auto speed auto ! interface GigabitEthernet0/1 ip address 10.201.208.40 255.255.240.0 ip nat inside ip virtual-reassembly duplex auto speed auto ip route 0.0.0.0 0.0.0.0 192.168.5.1 ! ip nat inside source list nick interface GigabitEthernet0/0 overload ! ip access-list extended nick .......................... ip access-list extended nick_out ............................ без access-group все нормально пашет, как только ставлю их все пропадат, нет никакого контакта ни скем
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

помогите разобраться плиииииз!, Nailer, 12:33 , 31-Авг-06, (1)

помогите разобраться плиииииз!, user, 12:52 , 31-Авг-06, (2)

помогите разобраться плиииииз!, Nailer, 13:18 , 31-Авг-06, (3)

помогите разобраться плиииииз!, user, 14:02 , 31-Авг-06, (4)

помогите разобраться плиииииз!, StSphinx, 15:46 , 31-Авг-06, (5)

помогите разобраться плиииииз!, user, 16:01 , 31-Авг-06, (6)

помогите разобраться плиииииз!, StSphinx, 16:49 , 31-Авг-06, (7)

помогите разобраться плиииииз!, user, 16:53 , 31-Авг-06, (9)

помогите разобраться плиииииз!, StSphinx, 16:54 , 31-Авг-06, (10)

помогите разобраться плиииииз!, StSphinx, 16:51 , 31-Авг-06, (8)

помогите разобраться плиииииз!, user, 17:05 , 31-Авг-06, (11)

помогите разобраться плиииииз!, StSphinx, 09:28 , 01-Сен-06, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "помогите разобраться плиииииз!"

Сообщение от Nailer (??) on 31-Авг-06, 12:33

>все перестает работать после того как прикручиваю к gi 0/0
> ip access-group nick in
> ip access-group nick_out out
>
>interface GigabitEthernet0/0
> ip address 192.168.5.230 255.255.255.0
> ip access-group nick in
> ip access-group nick_out out
> ip nat outside
> ip virtual-reassembly
> duplex auto
> speed auto
>!
>interface GigabitEthernet0/1
> ip address 10.201.208.40 255.255.240.0
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
>ip route 0.0.0.0 0.0.0.0 192.168.5.1
>!
>ip nat inside source list nick interface GigabitEthernet0/0 overload
>!
>ip access-list extended nick
>..........................
>
>ip access-list extended nick_out
>............................
>
>без access-group  все нормально пашет, как только ставлю их все пропадат,
>нет никакого контакта ни скем
Аксесс-листы покажите-то :-)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "помогите разобраться плиииииз!"

Сообщение от user (??) on 31-Авг-06, 12:52

в access-list все что надо стоит permit сначала а потом deny any any
скорее всег дело в NAT трансляции и правил которые применяются к интерфейсу, наверное неправильно соблюдены правила применения NAT и access-group, что то мешает кому-то
и эта стройчка ip nat inside source list nick interface GigabitEthernet0/0 overload возможно в ней лажа, вот незнаю что да как!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "помогите разобраться плиииииз!"

Сообщение от Nailer (??) on 31-Авг-06, 13:18

>в access-list все что надо стоит permit сначала а потом deny any
>any
Уважаемый, если вы такой умный, то зачем на форум за помощью обращаетесь? На cisco.com все написано.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "помогите разобраться плиииииз!"

Сообщение от user (??) on 31-Авг-06, 14:02

вот такой конфиг
interface GigabitEthernet0/0
ip address 192.168.5.230 255.255.255.0
ip access-group nick in
ip access-group nick_out out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.201.208.40 255.255.240.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.5.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list nick interface GigabitEthernet0/0 overload
!
ip access-list extended nick
permit tcp host 10.201.208.50 any eq www
permit tcp host 10.201.208.50 any eq smtp
permit tcp host 10.201.208.50 any eq pop3
permit udp host 10.201.208.50 any eq domain
permit icmp host 10.201.208.50 any
deny   udp any any
deny   tcp any any
deny   ip any any
ip access-list extended nick_out
permit ip host 10.201.208.50 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip any 192.168.0.0 0.0.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 10.0.0.0 0.255.255.255
deny   ip 10.0.0.0 0.255.255.255 any
deny   tcp any any
deny   udp any any
deny   ip any any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "помогите разобраться плиииииз!"

Сообщение от StSphinx (??) on 31-Авг-06, 15:46

>вот такой конфиг
>interface GigabitEthernet0/0
> ip address 192.168.5.230 255.255.255.0
> ip access-group nick in
  ^^^^^^^^^^^^^^^^^^^^^^^
А вот это здесь зачем?
in это то, что пришло извне на iface, что не согласуется
с логикой вашего acl nick.

> ip access-group nick_out out
> ip nat outside
> ip virtual-reassembly
> duplex auto
> speed auto
>!
>interface GigabitEthernet0/1
> ip address 10.201.208.40 255.255.240.0
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
>!
>ip route 0.0.0.0 0.0.0.0 192.168.5.1
>!
>!
>no ip http server
>no ip http secure-server
>ip nat inside source list nick interface GigabitEthernet0/0 overload
>!
>ip access-list extended nick
> permit tcp host 10.201.208.50 any eq www
> permit tcp host 10.201.208.50 any eq smtp
> permit tcp host 10.201.208.50 any eq pop3
> permit udp host 10.201.208.50 any eq domain
> permit icmp host 10.201.208.50 any
> deny   udp any any
> deny   tcp any any
> deny   ip any any
>ip access-list extended nick_out
> permit ip host 10.201.208.50 any
> deny   ip 172.16.0.0 0.15.255.255 any
> deny   ip 192.168.0.0 0.0.255.255 any
> deny   ip any 192.168.0.0 0.0.255.255
> deny   ip any 172.16.0.0 0.15.255.255
> deny   ip any 10.0.0.0 0.255.255.255
> deny   ip 10.0.0.0 0.255.255.255 any
> deny   tcp any any
> deny   udp any any
> deny   ip any any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "помогите разобраться плиииииз!"

Сообщение от user (??) on 31-Авг-06, 16:01

убрал строчку ip access-group nick_out out и все равно неработает!
вот это правильно?
ip nat inside source list nick interface GigabitEthernet0/0 overload
а как насчет nick_out натить, как вобще все это происходит?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "помогите разобраться плиииииз!"

Сообщение от StSphinx (??) on 31-Авг-06, 16:49

>убрал строчку ip access-group nick_out out и все равно неработает!
>вот это правильно?
>ip nat inside source list nick interface GigabitEthernet0/0 overload
>а как насчет nick_out натить, как вобще все это происходит?
Я разве что-то писал про out?
У вас nick на in режет весь входящий трафик.
interface GigabitEthernet0/0
--skip--
ip access-group nick in
^^^^^^^^^^^^^^^^^^^^^^^ - вот это режет вам входящий трафик, так как
ip access-list extended nick
permit tcp host 10.201.208.50 any eq www
permit tcp host 10.201.208.50 any eq smtp
permit tcp host 10.201.208.50 any eq pop3
permit udp host 10.201.208.50 any eq domain
permit icmp host 10.201.208.50 any
deny   udp any any
deny   tcp any any
deny   ip any any

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "помогите разобраться плиииииз!"

Сообщение от user (??) on 31-Авг-06, 16:53

блин а как же тогда на интерфей повесить access-list?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "помогите разобраться плиииииз!"

Сообщение от StSphinx (??) on 31-Авг-06, 16:54

>блин а как же тогда на интерфей повесить access-list?
Повестить так как вы это сделали, а вот что писать в access-list нужно думать
перед тем как писать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "помогите разобраться плиииииз!"

Сообщение от StSphinx (??) on 31-Авг-06, 16:51

>убрал строчку ip access-group nick_out out и все равно неработает!
>вот это правильно?
>ip nat inside source list nick interface GigabitEthernet0/0 overload
>а как насчет nick_out натить, как вобще все это происходит?
А вот насчет как работает NAT - www.cisco.com.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "помогите разобраться плиииииз!"

Сообщение от user (??) on 31-Авг-06, 17:05

ну как же быть, ведь я разрешил для для hosta нужный мне трафик, и почему отсекается все, ведь отсекается только то что ненужно, я так понимаю. если без access-group то все нормально пашет без всяких. как все понимать? в чем тонкость когда я просто натю access-list и когда лист приреплен к интерфейсу?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "помогите разобраться плиииииз!"

Сообщение от StSphinx (??) on 01-Сен-06, 09:28

>ну как же быть, ведь я разрешил для для hosta нужный мне
>трафик, и почему отсекается все, ведь отсекается только то что ненужно,
>я так понимаю. если без access-group то все нормально пашет без
>всяких. как все понимать? в чем тонкость когда я просто натю
>access-list и когда лист приреплен к интерфейсу?
Если вы пытались с помощью acl nick отфильтровать трафик к хосту
10.201.208.50, то сделали это неправильно и зарезали вообще весь трафик, так как
сам acl, в случае его применение на g0/0 inbound, написан неправильно. Учите матчасть, это будет самым лучшим решением.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите разобраться плиииииз!"
Сообщение от Nailer (??) on 31-Авг-06, 12:33
>все перестает работать после того как прикручиваю к gi 0/0 > ip access-group nick in > ip access-group nick_out out > >interface GigabitEthernet0/0 > ip address 192.168.5.230 255.255.255.0 > ip access-group nick in > ip access-group nick_out out > ip nat outside > ip virtual-reassembly > duplex auto > speed auto >! >interface GigabitEthernet0/1 > ip address 10.201.208.40 255.255.240.0 > ip nat inside > ip virtual-reassembly > duplex auto > speed auto >ip route 0.0.0.0 0.0.0.0 192.168.5.1 >! >ip nat inside source list nick interface GigabitEthernet0/0 overload >! >ip access-list extended nick >.......................... > >ip access-list extended nick_out >............................ > >без access-group все нормально пашет, как только ставлю их все пропадат, >нет никакого контакта ни скем Аксесс-листы покажите-то :-)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "помогите разобраться плиииииз!"
	Сообщение от user (??) on 31-Авг-06, 12:52
	в access-list все что надо стоит permit сначала а потом deny any any скорее всег дело в NAT трансляции и правил которые применяются к интерфейсу, наверное неправильно соблюдены правила применения NAT и access-group, что то мешает кому-то и эта стройчка ip nat inside source list nick interface GigabitEthernet0/0 overload возможно в ней лажа, вот незнаю что да как!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "помогите разобраться плиииииз!"
	Сообщение от Nailer (??) on 31-Авг-06, 13:18
	>в access-list все что надо стоит permit сначала а потом deny any >any Уважаемый, если вы такой умный, то зачем на форум за помощью обращаетесь? На cisco.com все написано.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "помогите разобраться плиииииз!"
	Сообщение от user (??) on 31-Авг-06, 14:02
	вот такой конфиг interface GigabitEthernet0/0 ip address 192.168.5.230 255.255.255.0 ip access-group nick in ip access-group nick_out out ip nat outside ip virtual-reassembly duplex auto speed auto ! interface GigabitEthernet0/1 ip address 10.201.208.40 255.255.240.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 192.168.5.1 ! ! no ip http server no ip http secure-server ip nat inside source list nick interface GigabitEthernet0/0 overload ! ip access-list extended nick permit tcp host 10.201.208.50 any eq www permit tcp host 10.201.208.50 any eq smtp permit tcp host 10.201.208.50 any eq pop3 permit udp host 10.201.208.50 any eq domain permit icmp host 10.201.208.50 any deny udp any any deny tcp any any deny ip any any ip access-list extended nick_out permit ip host 10.201.208.50 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 10.0.0.0 0.255.255.255 deny ip 10.0.0.0 0.255.255.255 any deny tcp any any deny udp any any deny ip any any
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "помогите разобраться плиииииз!"
	Сообщение от StSphinx (??) on 31-Авг-06, 15:46
	>вот такой конфиг >interface GigabitEthernet0/0 > ip address 192.168.5.230 255.255.255.0 > ip access-group nick in ^^^^^^^^^^^^^^^^^^^^^^^ А вот это здесь зачем? in это то, что пришло извне на iface, что не согласуется с логикой вашего acl nick. > ip access-group nick_out out > ip nat outside > ip virtual-reassembly > duplex auto > speed auto >! >interface GigabitEthernet0/1 > ip address 10.201.208.40 255.255.240.0 > ip nat inside > ip virtual-reassembly > duplex auto > speed auto >! >ip route 0.0.0.0 0.0.0.0 192.168.5.1 >! >! >no ip http server >no ip http secure-server >ip nat inside source list nick interface GigabitEthernet0/0 overload >! >ip access-list extended nick > permit tcp host 10.201.208.50 any eq www > permit tcp host 10.201.208.50 any eq smtp > permit tcp host 10.201.208.50 any eq pop3 > permit udp host 10.201.208.50 any eq domain > permit icmp host 10.201.208.50 any > deny udp any any > deny tcp any any > deny ip any any >ip access-list extended nick_out > permit ip host 10.201.208.50 any > deny ip 172.16.0.0 0.15.255.255 any > deny ip 192.168.0.0 0.0.255.255 any > deny ip any 192.168.0.0 0.0.255.255 > deny ip any 172.16.0.0 0.15.255.255 > deny ip any 10.0.0.0 0.255.255.255 > deny ip 10.0.0.0 0.255.255.255 any > deny tcp any any > deny udp any any > deny ip any any
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "помогите разобраться плиииииз!"
	Сообщение от user (??) on 31-Авг-06, 16:01
	убрал строчку ip access-group nick_out out и все равно неработает! вот это правильно? ip nat inside source list nick interface GigabitEthernet0/0 overload а как насчет nick_out натить, как вобще все это происходит?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "помогите разобраться плиииииз!"
	Сообщение от StSphinx (??) on 31-Авг-06, 16:49
	>убрал строчку ip access-group nick_out out и все равно неработает! >вот это правильно? >ip nat inside source list nick interface GigabitEthernet0/0 overload >а как насчет nick_out натить, как вобще все это происходит? Я разве что-то писал про out? У вас nick на in режет весь входящий трафик. interface GigabitEthernet0/0 --skip-- ip access-group nick in ^^^^^^^^^^^^^^^^^^^^^^^ - вот это режет вам входящий трафик, так как ip access-list extended nick permit tcp host 10.201.208.50 any eq www permit tcp host 10.201.208.50 any eq smtp permit tcp host 10.201.208.50 any eq pop3 permit udp host 10.201.208.50 any eq domain permit icmp host 10.201.208.50 any deny udp any any deny tcp any any deny ip any any
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "помогите разобраться плиииииз!"
	Сообщение от user (??) on 31-Авг-06, 16:53
	блин а как же тогда на интерфей повесить access-list?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "помогите разобраться плиииииз!"
	Сообщение от StSphinx (??) on 31-Авг-06, 16:54
	>блин а как же тогда на интерфей повесить access-list? Повестить так как вы это сделали, а вот что писать в access-list нужно думать перед тем как писать.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "помогите разобраться плиииииз!"
	Сообщение от StSphinx (??) on 31-Авг-06, 16:51
	>убрал строчку ip access-group nick_out out и все равно неработает! >вот это правильно? >ip nat inside source list nick interface GigabitEthernet0/0 overload >а как насчет nick_out натить, как вобще все это происходит? А вот насчет как работает NAT - www.cisco.com.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "помогите разобраться плиииииз!"
	Сообщение от user (??) on 31-Авг-06, 17:05
	ну как же быть, ведь я разрешил для для hosta нужный мне трафик, и почему отсекается все, ведь отсекается только то что ненужно, я так понимаю. если без access-group то все нормально пашет без всяких. как все понимать? в чем тонкость когда я просто натю access-list и когда лист приреплен к интерфейсу?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "помогите разобраться плиииииз!"
	Сообщение от StSphinx (??) on 01-Сен-06, 09:28
	>ну как же быть, ведь я разрешил для для hosta нужный мне >трафик, и почему отсекается все, ведь отсекается только то что ненужно, >я так понимаю. если без access-group то все нормально пашет без >всяких. как все понимать? в чем тонкость когда я просто натю >access-list и когда лист приреплен к интерфейсу? Если вы пытались с помощью acl nick отфильтровать трафик к хосту 10.201.208.50, то сделали это неправильно и зарезали вообще весь трафик, так как сам acl, в случае его применение на g0/0 inbound, написан неправильно. Учите матчасть, это будет самым лучшим решением.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]