forum.opennet.ru - "подскажите плиииз по ACL" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"подскажите плиииз по ACL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"подскажите плиииз по ACL"
Сообщение от nick (??) on 16-Окт-06, 11:28
вопрос тривиальный, вот и при таком раскладе проходят только пинги а все тормозится, почему даже наруже непроходят пакеты? ведь на внешнем интерфейсе ACL in это для пропуска приходящих пакетов из вне в мою сеть. почему все становится запрещено? вот конфиг Building configuration... version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! interface GigabitEthernet0/0 ip address 85.160.34.1 255.255.255.224 ip nat inside ip virtual-reassembly duplex half speed auto ! interface GigabitEthernet0/1 ip address 85.159.34.18 255.255.255.224 ip access-group www in ip access-group www_out out ip nat outside ip virtual-reassembly duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 x.x.x.x ! ip http server no ip http secure-server ip nat inside source list NAT interface GigabitEthernet0/1 overload ip nat inside source static y.y.y.y interface GigabitEthernet0/1 ! ip access-list extended NAT permit ip any any ! ip access-list extended www_out permit ip any any ! ip access-list extended www permit tcp any any eq 80 ........................ permti udp any any eq 53 permit icmp any any deny ip any any !
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

подскажите плиииз по ACL, universite, 01:27 , 17-Окт-06, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "подскажите плиииз по ACL"

Сообщение от universite (ok) on 17-Окт-06, 01:27

>вопрос тривиальный, вот и при таком раскладе проходят только пинги а все
>тормозится, почему даже наруже непроходят пакеты? ведь на внешнем интерфейсе ACL
>in это для пропуска приходящих пакетов из вне в мою сеть.
>почему все становится запрещено?
>ip access-list extended www_out
>permit ip any any
>!
>ip access-list extended www
> permit tcp any any eq 80
> ........................
> permti udp any any eq 53
> permit icmp any any
> deny ip any any
>!
Потому что первым идет проверка ACL www, в котором четко указано: deny ip any any!
И на все последующие правила Киске до лампочки!
Поэтому правильнее использовать не any any, a any <my_network> и <my_network> any.
P.S. Не понял смысла использования NAT, если на обоих интерфейсайх стоят реальники, а других саб-интерфейсов не видно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "подскажите плиииз по ACL"
Сообщение от universite (ok) on 17-Окт-06, 01:27
>вопрос тривиальный, вот и при таком раскладе проходят только пинги а все >тормозится, почему даже наруже непроходят пакеты? ведь на внешнем интерфейсе ACL >in это для пропуска приходящих пакетов из вне в мою сеть. >почему все становится запрещено? >ip access-list extended www_out >permit ip any any >! >ip access-list extended www > permit tcp any any eq 80 > ........................ > permti udp any any eq 53 > permit icmp any any > deny ip any any >! Потому что первым идет проверка ACL www, в котором четко указано: deny ip any any! И на все последующие правила Киске до лампочки! Поэтому правильнее использовать не any any, a any <my_network> и <my_network> any. P.S. Не понял смысла использования NAT, если на обоих интерфейсайх стоят реальники, а других саб-интерфейсов не видно.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]