forum.opennet.ru - "помогите с ACL разобраться" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"помогите с ACL разобраться"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"помогите с ACL разобраться"
Сообщение от nick (??) on 02-Сен-06, 12:29
вот часть интересующего меня конфига interface BVI1 ip address _______________ ip access-group 110 in ip route 0.0.0.0 0.0.0.0 ip_прова ip http server ! ip nat inside source list 10 interface BVI1 overload ! access-list 10 permit any access-list 10 permit any access-list 110 permit ip host 192.168.1.2 any access-list 110 permit tcp host 192.168.1.2 any eq www access-list 110 permit tcp host 192.168.1.2 any eq cmd access-list 110 permit tcp host 192.168.1.2 any eq pop3 access-list 110 permit tcp host 192.168.1.2 any eq smtp access-list 110 permit udp any eq domain any access-list 110 permit icmp any any access-list 110 deny udp any any log access-list 110 deny tcp any any log access-list 110 deny ip any any log почему когда ставлю вот так access-list 110 permit udp any eq domain any то все работает а когда делаю access-list 110 permit udp host 192.168.1.2 eq domain any или наоборот access-list 110 permit udp any eq domain host 192.168.1.2 или все вместе то нифига не работает! в чем касяк, подскажите плииз!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

помогите с ACL разобраться, sergei, 12:44 , 02-Сен-06, (1)

помогите с ACL разобраться, nick, 12:52 , 02-Сен-06, (2)

помогите с ACL разобраться, sergei, 12:57 , 02-Сен-06, (3)

помогите с ACL разобраться, nick, 13:04 , 02-Сен-06, (4)

помогите с ACL разобраться, sergei, 13:10 , 02-Сен-06, (5)

помогите с ACL разобраться, sergei, 13:16 , 02-Сен-06, (6)

помогите с ACL разобраться, nick, 13:35 , 02-Сен-06, (7)

помогите с ACL разобраться, sergei, 13:44 , 02-Сен-06, (8)

помогите с ACL разобраться, nick, 14:33 , 02-Сен-06, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "помогите с ACL разобраться"

Сообщение от sergei (??) on 02-Сен-06, 12:44

>вот часть интересующего меня конфига
>interface BVI1
> ip address _______________
> ip access-group 110 in
>
>ip route 0.0.0.0 0.0.0.0 ip_прова
>ip http server
>!
>ip nat inside source list 10 interface BVI1 overload
>!
>access-list 10 permit any
>access-list 10 permit any
>access-list 110 permit ip host 192.168.1.2 any
>access-list 110 permit tcp host 192.168.1.2 any eq www
>access-list 110 permit tcp host 192.168.1.2 any eq cmd
>access-list 110 permit tcp host 192.168.1.2 any eq pop3
>access-list 110 permit tcp host 192.168.1.2 any eq smtp
>access-list 110 permit udp any eq domain any
>access-list 110 permit icmp any any
>access-list 110 deny   udp any any log
>access-list 110 deny   tcp any any log
>access-list 110 deny   ip any any log
>почему когда ставлю вот так access-list 110 permit udp any eq domain
>any то все работает
>а когда делаю
>access-list 110 permit udp host 192.168.1.2 eq domain any
>
>или наоборот
>access-list 110 permit udp any eq domain host 192.168.1.2
>или все вместе то нифига не работает!
>в чем касяк, подскажите плииз!
смотря где ты эту access-list 110 permit udp host 192.168.1.2 eq domain any
строчу ставишь если в конце после deny то конечно не будет работать

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "помогите с ACL разобраться"

Сообщение от nick (??) on 02-Сен-06, 12:52

access-list 10 permit any
access-list 10 permit any
access-list 110 permit ip host 192.168.1.2 any
access-list 110 permit tcp host 192.168.1.2 any eq www
access-list 110 permit tcp host 192.168.1.2 any eq cmd
access-list 110 permit tcp host 192.168.1.2 any eq pop3
access-list 110 permit tcp host 192.168.1.2 any eq smtp
access-list 110 permit udp any eq domain any - эта строчка в permit стоит а потом запреты идут
access-list 110 permit icmp any any
access-list 110 deny   udp any any log
access-list 110 deny   tcp any any log
access-list 110 deny   ip any any log

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "помогите с ACL разобраться"

Сообщение от sergei (??) on 02-Сен-06, 12:57

>access-list 10 permit any
>access-list 10 permit any
>access-list 110 permit ip host 192.168.1.2 any
>access-list 110 permit tcp host 192.168.1.2 any eq www
>access-list 110 permit tcp host 192.168.1.2 any eq cmd
>access-list 110 permit tcp host 192.168.1.2 any eq pop3
>access-list 110 permit tcp host 192.168.1.2 any eq smtp
>access-list 110 permit udp any eq domain any - эта строчка в
>permit стоит а потом запреты идут
>access-list 110 permit icmp any any
>
>access-list 110 deny   udp any any log
>access-list 110 deny   tcp any any log
>access-list 110 deny   ip any any log

сделай вот так и не парься
access-list 110 permit udp any eq domain any
access-list 110 permit udp any any eq domain
access-list 110 permit tcp any eq domain any
access-list 110 permit tcp any any eq domain

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "помогите с ACL разобраться"

Сообщение от nick (??) on 02-Сен-06, 13:04

попробую,а вот еще на out нужноповесить но не работает тоже соответственно
access-list 120 deny ip any 192.168.0.0 0.0.255.255
access-list 120 deny   ip any 172.16.0.0 0.15.255.255
access-list 120 deny   ip any 10.0.0.0 0.255.255.255
access-list 120 deny   ip 10.0.0.0 0.255.255.255 any
access-list 120 deny   ip 172.16.0.0 0.15.255.255 any
access-list 120 deny   ip 192.168.0.0 0.0.255.255 any
access-list 120 permit ip host 192.168.1.2 any
access-list 120 deny   tcp any any log
access-list 120 deny   udp any any log
access-list 120 deny   ip any any log

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "помогите с ACL разобраться"

Сообщение от sergei (??) on 02-Сен-06, 13:10

>попробую,а вот еще на out нужноповесить но не работает тоже соответственно
>
>access-list 120 deny ip any 192.168.0.0 0.0.255.255
>access-list 120 deny   ip any 172.16.0.0 0.15.255.255
>access-list 120 deny   ip any 10.0.0.0 0.255.255.255
>access-list 120 deny   ip 10.0.0.0 0.255.255.255 any
>access-list 120 deny   ip 172.16.0.0 0.15.255.255 any
>access-list 120 deny   ip 192.168.0.0 0.0.255.255 any
>access-list 120 permit ip host 192.168.1.2 any
>access-list 120 deny   tcp any any log
>access-list 120 deny   udp any any log
>access-list 120 deny   ip any any log

главное правило аксес листа если пакет матчится то дальше лист не просматривается

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "помогите с ACL разобраться"

Сообщение от sergei (??) on 02-Сен-06, 13:16

>>попробую,а вот еще на out нужноповесить но не работает тоже соответственно
>>
>>access-list 120 deny ip any 192.168.0.0 0.0.255.255
>>access-list 120 deny   ip any 172.16.0.0 0.15.255.255
>>access-list 120 deny   ip any 10.0.0.0 0.255.255.255
>>access-list 120 deny   ip 10.0.0.0 0.255.255.255 any
>>access-list 120 deny   ip 172.16.0.0 0.15.255.255 any
>>access-list 120 deny   ip 192.168.0.0 0.0.255.255 any
>>access-list 120 permit ip host 192.168.1.2 any
>>access-list 120 deny   tcp any any log
>>access-list 120 deny   udp any any log
>>access-list 120 deny   ip any any log
>
>
>
>
>главное правило аксес листа если пакет матчится то дальше лист не просматривается
>

у тебя в самом верху стоит access-list 120 permit ip host 192.168.1.2 any
поэтому
access-list 110 permit udp host 192.168.1.2 eq domain any
работать не будет так как он уже попал в первое правило

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "помогите с ACL разобраться"

Сообщение от nick (??) on 02-Сен-06, 13:35

я так понимаю, что я делаю список разрешенных протоколов это ip tcp udp icmp, а в них указываю кто и куда может ходить. так по правилу udp any any не совсем поннятно, почему все ко всем так получается а когда конкретный ip указываю то нет. как понять?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "помогите с ACL разобраться"

Сообщение от sergei (??) on 02-Сен-06, 13:44

>я так понимаю, что я делаю список разрешенных протоколов это ip tcp
>udp icmp, а в них указываю кто и куда может ходить.
>так по правилу udp any any не совсем поннятно, почему все
>ко всем так получается а когда конкретный ip указываю то нет.
>как понять?

неправельно ты понимаешь
permit ip <host> any
это значит разрешить все этому хосту на всех, то есть ты ему разрешил tcp udp pop3 www
то есть ВСЕ

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "помогите с ACL разобраться"

Сообщение от nick (??) on 02-Сен-06, 14:33

я убрал access-list 110 permit ip host 192.168.1.2 any пока нормально работает
только вот строчка access-list 110 permit udp any eq 53 192.168.1.2 не пропускает
и так делал access-list 110 permit udp 192.168.1.2 eq 53 any нифига
работает только вот при таком
access-list 110 permit udp any eq 53 any
и строка
access-list 110 deny   udp any any
теряет смысл, по этому как правильно разрешить udp для host 192.168.1.2. я непойму.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите с ACL разобраться"
Сообщение от sergei (??) on 02-Сен-06, 12:44
>вот часть интересующего меня конфига >interface BVI1 > ip address _______________ > ip access-group 110 in > >ip route 0.0.0.0 0.0.0.0 ip_прова >ip http server >! >ip nat inside source list 10 interface BVI1 overload >! >access-list 10 permit any >access-list 10 permit any >access-list 110 permit ip host 192.168.1.2 any >access-list 110 permit tcp host 192.168.1.2 any eq www >access-list 110 permit tcp host 192.168.1.2 any eq cmd >access-list 110 permit tcp host 192.168.1.2 any eq pop3 >access-list 110 permit tcp host 192.168.1.2 any eq smtp >access-list 110 permit udp any eq domain any >access-list 110 permit icmp any any >access-list 110 deny udp any any log >access-list 110 deny tcp any any log >access-list 110 deny ip any any log >почему когда ставлю вот так access-list 110 permit udp any eq domain >any то все работает >а когда делаю >access-list 110 permit udp host 192.168.1.2 eq domain any > >или наоборот >access-list 110 permit udp any eq domain host 192.168.1.2 >или все вместе то нифига не работает! >в чем касяк, подскажите плииз! смотря где ты эту access-list 110 permit udp host 192.168.1.2 eq domain any строчу ставишь если в конце после deny то конечно не будет работать
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "помогите с ACL разобраться"
	Сообщение от nick (??) on 02-Сен-06, 12:52
	access-list 10 permit any access-list 10 permit any access-list 110 permit ip host 192.168.1.2 any access-list 110 permit tcp host 192.168.1.2 any eq www access-list 110 permit tcp host 192.168.1.2 any eq cmd access-list 110 permit tcp host 192.168.1.2 any eq pop3 access-list 110 permit tcp host 192.168.1.2 any eq smtp access-list 110 permit udp any eq domain any - эта строчка в permit стоит а потом запреты идут access-list 110 permit icmp any any access-list 110 deny udp any any log access-list 110 deny tcp any any log access-list 110 deny ip any any log
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "помогите с ACL разобраться"
	Сообщение от sergei (??) on 02-Сен-06, 12:57
	>access-list 10 permit any >access-list 10 permit any >access-list 110 permit ip host 192.168.1.2 any >access-list 110 permit tcp host 192.168.1.2 any eq www >access-list 110 permit tcp host 192.168.1.2 any eq cmd >access-list 110 permit tcp host 192.168.1.2 any eq pop3 >access-list 110 permit tcp host 192.168.1.2 any eq smtp >access-list 110 permit udp any eq domain any - эта строчка в >permit стоит а потом запреты идут >access-list 110 permit icmp any any > >access-list 110 deny udp any any log >access-list 110 deny tcp any any log >access-list 110 deny ip any any log сделай вот так и не парься access-list 110 permit udp any eq domain any access-list 110 permit udp any any eq domain access-list 110 permit tcp any eq domain any access-list 110 permit tcp any any eq domain
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "помогите с ACL разобраться"
	Сообщение от nick (??) on 02-Сен-06, 13:04
	попробую,а вот еще на out нужноповесить но не работает тоже соответственно access-list 120 deny ip any 192.168.0.0 0.0.255.255 access-list 120 deny ip any 172.16.0.0 0.15.255.255 access-list 120 deny ip any 10.0.0.0 0.255.255.255 access-list 120 deny ip 10.0.0.0 0.255.255.255 any access-list 120 deny ip 172.16.0.0 0.15.255.255 any access-list 120 deny ip 192.168.0.0 0.0.255.255 any access-list 120 permit ip host 192.168.1.2 any access-list 120 deny tcp any any log access-list 120 deny udp any any log access-list 120 deny ip any any log
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "помогите с ACL разобраться"
	Сообщение от sergei (??) on 02-Сен-06, 13:10
	>попробую,а вот еще на out нужноповесить но не работает тоже соответственно > >access-list 120 deny ip any 192.168.0.0 0.0.255.255 >access-list 120 deny ip any 172.16.0.0 0.15.255.255 >access-list 120 deny ip any 10.0.0.0 0.255.255.255 >access-list 120 deny ip 10.0.0.0 0.255.255.255 any >access-list 120 deny ip 172.16.0.0 0.15.255.255 any >access-list 120 deny ip 192.168.0.0 0.0.255.255 any >access-list 120 permit ip host 192.168.1.2 any >access-list 120 deny tcp any any log >access-list 120 deny udp any any log >access-list 120 deny ip any any log главное правило аксес листа если пакет матчится то дальше лист не просматривается
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "помогите с ACL разобраться"
	Сообщение от sergei (??) on 02-Сен-06, 13:16
	>>попробую,а вот еще на out нужноповесить но не работает тоже соответственно >> >>access-list 120 deny ip any 192.168.0.0 0.0.255.255 >>access-list 120 deny ip any 172.16.0.0 0.15.255.255 >>access-list 120 deny ip any 10.0.0.0 0.255.255.255 >>access-list 120 deny ip 10.0.0.0 0.255.255.255 any >>access-list 120 deny ip 172.16.0.0 0.15.255.255 any >>access-list 120 deny ip 192.168.0.0 0.0.255.255 any >>access-list 120 permit ip host 192.168.1.2 any >>access-list 120 deny tcp any any log >>access-list 120 deny udp any any log >>access-list 120 deny ip any any log > > > > >главное правило аксес листа если пакет матчится то дальше лист не просматривается > у тебя в самом верху стоит access-list 120 permit ip host 192.168.1.2 any поэтому access-list 110 permit udp host 192.168.1.2 eq domain any работать не будет так как он уже попал в первое правило
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "помогите с ACL разобраться"
	Сообщение от nick (??) on 02-Сен-06, 13:35
	я так понимаю, что я делаю список разрешенных протоколов это ip tcp udp icmp, а в них указываю кто и куда может ходить. так по правилу udp any any не совсем поннятно, почему все ко всем так получается а когда конкретный ip указываю то нет. как понять?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "помогите с ACL разобраться"
	Сообщение от sergei (??) on 02-Сен-06, 13:44
	>я так понимаю, что я делаю список разрешенных протоколов это ip tcp >udp icmp, а в них указываю кто и куда может ходить. >так по правилу udp any any не совсем поннятно, почему все >ко всем так получается а когда конкретный ip указываю то нет. >как понять? неправельно ты понимаешь permit ip <host> any это значит разрешить все этому хосту на всех, то есть ты ему разрешил tcp udp pop3 www то есть ВСЕ
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "помогите с ACL разобраться"
	Сообщение от nick (??) on 02-Сен-06, 14:33
	я убрал access-list 110 permit ip host 192.168.1.2 any пока нормально работает только вот строчка access-list 110 permit udp any eq 53 192.168.1.2 не пропускает и так делал access-list 110 permit udp 192.168.1.2 eq 53 any нифига работает только вот при таком access-list 110 permit udp any eq 53 any и строка access-list 110 deny udp any any теряет смысл, по этому как правильно разрешить udp для host 192.168.1.2. я непойму.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]