форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"как закрыть PAT,чтобы работал только по www"

Сообщение от erjan (ok) on 16-Янв-07, 08:48

Добрый день! настроил PAT ip nat inside source list 1 interface Serial0/0.1 overload для выхода с внутр сети наружу через внешний Serial0/0.1 и хочу обрезать доступ только по www permit tcp host 212.154.163.2 any  eq www но инет перестает работать если убераю: no permit ip any host Serial0/0.1 при PATе этого невозможно добиться???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "как закрыть PAT,чтобы работал только по www"

Сообщение от Изгой (??) on 16-Янв-07, 09:02

>Добрый день! >настроил PAT >ip nat inside source list 1 interface Serial0/0.1 overload >для выхода с внутр сети наружу через внешний Serial0/0.1 >и хочу обрезать доступ только по www >permit tcp host 212.154.163.2 any  eq www > >но инет перестает работать если убераю: >no permit ip any host Serial0/0.1 > >при PATе этого невозможно добиться??? Ну наверно надо прописать в акцесс листе для пата permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg www но так вы порежите dns - но если работать через внешний проксик то прокатит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 16-Янв-07, 11:52
	>>Добрый день! >>настроил PAT >>ip nat inside source list 1 interface Serial0/0.1 overload >>для выхода с внутр сети наружу через внешний Serial0/0.1 >>и хочу обрезать доступ только по www >>permit tcp host 212.154.163.2 any  eq www >> >>но инет перестает работать если убераю: >>no permit ip any host Serial0/0.1 >> >>при PATе этого невозможно добиться??? > >Ну наверно надо прописать в акцесс листе для пата >permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >www >но так вы порежите dns - но если работать через внешний проксик >то прокатит. но мне надо чтобы на 212.154.163.2 снаружи был доступ только с определенных сетей например с 209.7.0.0 0.0.255.255 а для других был закрыт доступ? это возможно сделать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "как закрыть PAT,чтобы работал только по www"
	Сообщение от asavenkov on 16-Янв-07, 12:16
	>>>Добрый день! >>>настроил PAT >>>ip nat inside source list 1 interface Serial0/0.1 overload >>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>и хочу обрезать доступ только по www >>>permit tcp host 212.154.163.2 any  eq www >>> >>>но инет перестает работать если убераю: >>>no permit ip any host Serial0/0.1 >>> >>>при PATе этого невозможно добиться??? >> >>Ну наверно надо прописать в акцесс листе для пата >>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>www >>но так вы порежите dns - но если работать через внешний проксик >>то прокатит. > >но мне надо чтобы на 212.154.163.2 >снаружи был доступ только с определенных сетей >например с 209.7.0.0 0.0.255.255 >а для других был закрыт доступ? >это возможно сделать? ACL на интерфейсе
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 16-Янв-07, 13:25
	>>>>Добрый день! >>>>настроил PAT >>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>и хочу обрезать доступ только по www >>>>permit tcp host 212.154.163.2 any  eq www >>>> >>>>но инет перестает работать если убераю: >>>>no permit ip any host Serial0/0.1 >>>> >>>>при PATе этого невозможно добиться??? >>> >>>Ну наверно надо прописать в акцесс листе для пата >>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>www >>>но так вы порежите dns - но если работать через внешний проксик >>>то прокатит. >> >>но мне надо чтобы на 212.154.163.2 >>снаружи был доступ только с определенных сетей >>например с 209.7.0.0 0.0.255.255 >>а для других был закрыт доступ? >>это возможно сделать? > >ACL на интерфейсе -на интерфейсе есть АКЛ но он не работает,по нему только icq идет и инет рубиться... permit tcp any host 212.154.163.2 eq www только с таким АКЛ проходит permit ip any host 212.154.163.2 но он открывает все...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "как закрыть PAT,чтобы работал только по www"
	Сообщение от asavenkov on 16-Янв-07, 16:12
	>>>>>Добрый день! >>>>>настроил PAT >>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>и хочу обрезать доступ только по www >>>>>permit tcp host 212.154.163.2 any  eq www >>>>> >>>>>но инет перестает работать если убераю: >>>>>no permit ip any host Serial0/0.1 >>>>> >>>>>при PATе этого невозможно добиться??? >>>> >>>>Ну наверно надо прописать в акцесс листе для пата >>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>www >>>>но так вы порежите dns - но если работать через внешний проксик >>>>то прокатит. >>> >>>но мне надо чтобы на 212.154.163.2 >>>снаружи был доступ только с определенных сетей >>>например с 209.7.0.0 0.0.255.255 >>>а для других был закрыт доступ? >>>это возможно сделать? >> >>ACL на интерфейсе > >-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >и инет рубиться... >permit tcp any host 212.154.163.2 eq www >только с таким АКЛ проходит >permit ip any host 212.154.163.2 >но он открывает все... Тогда конфиг НАТа в студию.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 17-Янв-07, 05:58
	>>>>>>Добрый день! >>>>>>настроил PAT >>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>и хочу обрезать доступ только по www >>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>> >>>>>>но инет перестает работать если убераю: >>>>>>no permit ip any host Serial0/0.1 >>>>>> >>>>>>при PATе этого невозможно добиться??? >>>>> >>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>www >>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>то прокатит. >>>> >>>>но мне надо чтобы на 212.154.163.2 >>>>снаружи был доступ только с определенных сетей >>>>например с 209.7.0.0 0.0.255.255 >>>>а для других был закрыт доступ? >>>>это возможно сделать? >>> >>>ACL на интерфейсе >> >>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>и инет рубиться... >>permit tcp any host 212.154.163.2 eq www >>только с таким АКЛ проходит >>permit ip any host 212.154.163.2 >>но он открывает все... > > >Тогда конфиг НАТа в студию. ip nat inside source list pat interface Serial0/0.1 overload ip access-list extended pat permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но работает icq permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет deny   ip any any
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "как закрыть PAT,чтобы работал только по www"
	Сообщение от Изгой (??) on 17-Янв-07, 09:40
	>>>>>>>Добрый день! >>>>>>>настроил PAT >>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>и хочу обрезать доступ только по www >>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>> >>>>>>>но инет перестает работать если убераю: >>>>>>>no permit ip any host Serial0/0.1 >>>>>>> >>>>>>>при PATе этого невозможно добиться??? >>>>>> >>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>www >>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>то прокатит. >>>>> >>>>>но мне надо чтобы на 212.154.163.2 >>>>>снаружи был доступ только с определенных сетей >>>>>например с 209.7.0.0 0.0.255.255 >>>>>а для других был закрыт доступ? >>>>>это возможно сделать? >>>> >>>>ACL на интерфейсе >>> >>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>и инет рубиться... >>>permit tcp any host 212.154.163.2 eq www >>>только с таким АКЛ проходит >>>permit ip any host 212.154.163.2 >>>но он открывает все... >> >> >>Тогда конфиг НАТа в студию. > >ip nat inside source list pat interface Serial0/0.1 overload > >ip access-list extended pat > permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >работает icq > permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет > deny   ip any any DNS допиши в аккцесс лист
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 17-Янв-07, 14:11
	>>>>>>>>Добрый день! >>>>>>>>настроил PAT >>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>и хочу обрезать доступ только по www >>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>> >>>>>>>>но инет перестает работать если убераю: >>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>> >>>>>>>>при PATе этого невозможно добиться??? >>>>>>> >>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>www >>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>то прокатит. >>>>>> >>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>снаружи был доступ только с определенных сетей >>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>а для других был закрыт доступ? >>>>>>это возможно сделать? >>>>> >>>>>ACL на интерфейсе >>>> >>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>и инет рубиться... >>>>permit tcp any host 212.154.163.2 eq www >>>>только с таким АКЛ проходит >>>>permit ip any host 212.154.163.2 >>>>но он открывает все... >>> >>> >>>Тогда конфиг НАТа в студию. >> >>ip nat inside source list pat interface Serial0/0.1 overload >> >>ip access-list extended pat >> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>работает icq >> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >> deny   ip any any > >DNS допиши в аккцесс лист так мне надо не внтреннюю сеть ограничивать а чтобы снаружи Serial0/0.1 был доступен только по 80 порту
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "как закрыть PAT,чтобы работал только по www"
	Сообщение от asavenkov on 17-Янв-07, 12:13
	>>>>>>>Добрый день! >>>>>>>настроил PAT >>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>и хочу обрезать доступ только по www >>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>> >>>>>>>но инет перестает работать если убераю: >>>>>>>no permit ip any host Serial0/0.1 >>>>>>> >>>>>>>при PATе этого невозможно добиться??? >>>>>> >>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>www >>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>то прокатит. >>>>> >>>>>но мне надо чтобы на 212.154.163.2 >>>>>снаружи был доступ только с определенных сетей >>>>>например с 209.7.0.0 0.0.255.255 >>>>>а для других был закрыт доступ? >>>>>это возможно сделать? >>>> >>>>ACL на интерфейсе >>> >>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>и инет рубиться... >>>permit tcp any host 212.154.163.2 eq www >>>только с таким АКЛ проходит >>>permit ip any host 212.154.163.2 >>>но он открывает все... >> >> >>Тогда конфиг НАТа в студию. > >ip nat inside source list pat interface Serial0/0.1 overload > >ip access-list extended pat > permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >работает icq > permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет > deny   ip any any В АКЛ добавить в одной из первых строк perm tcp any host IP_SERIAL established
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 17-Янв-07, 14:06
	>>>>>>>>Добрый день! >>>>>>>>настроил PAT >>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>и хочу обрезать доступ только по www >>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>> >>>>>>>>но инет перестает работать если убераю: >>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>> >>>>>>>>при PATе этого невозможно добиться??? >>>>>>> >>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>www >>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>то прокатит. >>>>>> >>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>снаружи был доступ только с определенных сетей >>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>а для других был закрыт доступ? >>>>>>это возможно сделать? >>>>> >>>>>ACL на интерфейсе >>>> >>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>и инет рубиться... >>>>permit tcp any host 212.154.163.2 eq www >>>>только с таким АКЛ проходит >>>>permit ip any host 212.154.163.2 >>>>но он открывает все... >>> >>> >>>Тогда конфиг НАТа в студию. >> >>ip nat inside source list pat interface Serial0/0.1 overload >> >>ip access-list extended pat >> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>работает icq >> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >> deny   ip any any > > >В АКЛ добавить в одной из первых строк perm tcp any host >IP_SERIAL established permit tcp any host 212.154.163.2 eq www established все равно инет рубиться,icq работает только если permit ip any host 212.154.163.2-то инет пашет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "как закрыть PAT,чтобы работал только по www"
	Сообщение от asavenkov on 17-Янв-07, 17:18
	>>>>>>>>>Добрый день! >>>>>>>>>настроил PAT >>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>>и хочу обрезать доступ только по www >>>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>>> >>>>>>>>>но инет перестает работать если убераю: >>>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>>> >>>>>>>>>при PATе этого невозможно добиться??? >>>>>>>> >>>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>>www >>>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>>то прокатит. >>>>>>> >>>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>>снаружи был доступ только с определенных сетей >>>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>>а для других был закрыт доступ? >>>>>>>это возможно сделать? >>>>>> >>>>>>ACL на интерфейсе >>>>> >>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>>и инет рубиться... >>>>>permit tcp any host 212.154.163.2 eq www >>>>>только с таким АКЛ проходит >>>>>permit ip any host 212.154.163.2 >>>>>но он открывает все... >>>> >>>> >>>>Тогда конфиг НАТа в студию. >>> >>>ip nat inside source list pat interface Serial0/0.1 overload >>> >>>ip access-list extended pat >>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>>работает icq >>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >>> deny   ip any any >> >> >>В АКЛ добавить в одной из первых строк perm tcp any host >>IP_SERIAL established > > >permit tcp any host 212.154.163.2 eq www established >все равно инет рубиться,icq работает >только если permit ip any host 212.154.163.2-то инет пашет permit tcp any host 212.154.163.2 established permit tcp any host 212.154.163.2 eq www
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 18-Янв-07, 07:00
	>>>>>>>>>>Добрый день! >>>>>>>>>>настроил PAT >>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>>>и хочу обрезать доступ только по www >>>>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>>>> >>>>>>>>>>но инет перестает работать если убераю: >>>>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>>>> >>>>>>>>>>при PATе этого невозможно добиться??? >>>>>>>>> >>>>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>>>www >>>>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>>>то прокатит. >>>>>>>> >>>>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>>>снаружи был доступ только с определенных сетей >>>>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>>>а для других был закрыт доступ? >>>>>>>>это возможно сделать? >>>>>>> >>>>>>>ACL на интерфейсе >>>>>> >>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>>>и инет рубиться... >>>>>>permit tcp any host 212.154.163.2 eq www >>>>>>только с таким АКЛ проходит >>>>>>permit ip any host 212.154.163.2 >>>>>>но он открывает все... >>>>> >>>>> >>>>>Тогда конфиг НАТа в студию. >>>> >>>>ip nat inside source list pat interface Serial0/0.1 overload >>>> >>>>ip access-list extended pat >>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>>>работает icq >>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >>>> deny   ip any any >>> >>> >>>В АКЛ добавить в одной из первых строк perm tcp any host >>>IP_SERIAL established >> >> >>permit tcp any host 212.154.163.2 eq www established >>все равно инет рубиться,icq работает >>только если permit ip any host 212.154.163.2-то инет пашет > >permit tcp any host 212.154.163.2 established >permit tcp any host 212.154.163.2 eq www хорошо сделал таким образом: permit tcp any host 212.154.163.2 eq www permit tcp any host 212.154.163.2 eq www established permit tcp any host 212.154.163.2 eq pop3 permit tcp any host 212.154.163.2 eq smtp permit tcp any host 212.154.163.2 eq smtp established permit tcp any host 212.154.163.2 eq pop3 established но как то странно получилось когда прописывал строку с www он работал потом прописал pop3 smtp -инет работал но почта нет, потом через некоторое время вырубилься инет,но заработала почта... почему так происходит?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 18-Янв-07, 07:03
	>>>>>>>>>>>Добрый день! >>>>>>>>>>>настроил PAT >>>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>>>>и хочу обрезать доступ только по www >>>>>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>>>>> >>>>>>>>>>>но инет перестает работать если убераю: >>>>>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>>>>> >>>>>>>>>>>при PATе этого невозможно добиться??? >>>>>>>>>> >>>>>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>>>>www >>>>>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>>>>то прокатит. >>>>>>>>> >>>>>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>>>>снаружи был доступ только с определенных сетей >>>>>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>>>>а для других был закрыт доступ? >>>>>>>>>это возможно сделать? >>>>>>>> >>>>>>>>ACL на интерфейсе >>>>>>> >>>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>>>>и инет рубиться... >>>>>>>permit tcp any host 212.154.163.2 eq www >>>>>>>только с таким АКЛ проходит >>>>>>>permit ip any host 212.154.163.2 >>>>>>>но он открывает все... >>>>>> >>>>>> >>>>>>Тогда конфиг НАТа в студию. >>>>> >>>>>ip nat inside source list pat interface Serial0/0.1 overload >>>>> >>>>>ip access-list extended pat >>>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>>>>работает icq >>>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >>>>> deny   ip any any >>>> >>>> >>>>В АКЛ добавить в одной из первых строк perm tcp any host >>>>IP_SERIAL established >>> >>> >>>permit tcp any host 212.154.163.2 eq www established >>>все равно инет рубиться,icq работает >>>только если permit ip any host 212.154.163.2-то инет пашет >> >>permit tcp any host 212.154.163.2 established >>permit tcp any host 212.154.163.2 eq www > >хорошо сделал таким образом: > permit tcp any host 212.154.163.2 eq www > permit tcp any host 212.154.163.2 eq www established > permit tcp any host 212.154.163.2 eq pop3 > permit tcp any host 212.154.163.2 eq smtp > permit tcp any host 212.154.163.2 eq smtp established > permit tcp any host 212.154.163.2 eq pop3 established > >но как то странно получилось когда прописывал строку с www он работал > >потом прописал pop3 smtp -инет работал но почта нет, >потом через некоторое время вырубилься инет,но заработала почта... >почему так происходит? - но при чем инет вырубилься, если захожу на новые сайты , а внутри этого форума навигация работает нормально
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "как закрыть PAT,чтобы работал только по www"
	Сообщение от erjan (??) on 18-Янв-07, 12:36
	>>>>>>>>>>>>Добрый день! >>>>>>>>>>>>настроил PAT >>>>>>>>>>>>ip nat inside source list 1 interface Serial0/0.1 overload >>>>>>>>>>>>для выхода с внутр сети наружу через внешний Serial0/0.1 >>>>>>>>>>>>и хочу обрезать доступ только по www >>>>>>>>>>>>permit tcp host 212.154.163.2 any  eq www >>>>>>>>>>>> >>>>>>>>>>>>но инет перестает работать если убераю: >>>>>>>>>>>>no permit ip any host Serial0/0.1 >>>>>>>>>>>> >>>>>>>>>>>>при PATе этого невозможно добиться??? >>>>>>>>>>> >>>>>>>>>>>Ну наверно надо прописать в акцесс листе для пата >>>>>>>>>>>permit tcp ваша внутренняя сеть к примеру - 172.18.0.0 0.0.255.255 any eg >>>>>>>>>>>www >>>>>>>>>>>но так вы порежите dns - но если работать через внешний проксик >>>>>>>>>>>то прокатит. >>>>>>>>>> >>>>>>>>>>но мне надо чтобы на 212.154.163.2 >>>>>>>>>>снаружи был доступ только с определенных сетей >>>>>>>>>>например с 209.7.0.0 0.0.255.255 >>>>>>>>>>а для других был закрыт доступ? >>>>>>>>>>это возможно сделать? >>>>>>>>> >>>>>>>>>ACL на интерфейсе >>>>>>>> >>>>>>>>-на интерфейсе есть АКЛ но он не работает,по нему только icq идет >>>>>>>>и инет рубиться... >>>>>>>>permit tcp any host 212.154.163.2 eq www >>>>>>>>только с таким АКЛ проходит >>>>>>>>permit ip any host 212.154.163.2 >>>>>>>>но он открывает все... >>>>>>> >>>>>>> >>>>>>>Тогда конфиг НАТа в студию. >>>>>> >>>>>>ip nat inside source list pat interface Serial0/0.1 overload >>>>>> >>>>>>ip access-list extended pat >>>>>> permit tcp 192.172.11.0 0.0.0.255 any eq www-с этим инет не работает.но >>>>>>работает icq >>>>>> permit ip 192.172.18.0 0.0.0.255 any-с этим работает инет >>>>>> deny   ip any any >>>>> >>>>> >>>>>В АКЛ добавить в одной из первых строк perm tcp any host >>>>>IP_SERIAL established >>>> >>>> >>>>permit tcp any host 212.154.163.2 eq www established >>>>все равно инет рубиться,icq работает >>>>только если permit ip any host 212.154.163.2-то инет пашет >>> >>>permit tcp any host 212.154.163.2 established >>>permit tcp any host 212.154.163.2 eq www >> >>хорошо сделал таким образом: >> permit tcp any host 212.154.163.2 eq www >> permit tcp any host 212.154.163.2 eq www established >> permit tcp any host 212.154.163.2 eq pop3 >> permit tcp any host 212.154.163.2 eq smtp >> permit tcp any host 212.154.163.2 eq smtp established >> permit tcp any host 212.154.163.2 eq pop3 established >> >>но как то странно получилось когда прописывал строку с www он работал >> >>потом прописал pop3 smtp -инет работал но почта нет, >>потом через некоторое время вырубилься инет,но заработала почта... >>почему так происходит? > > > > >- но при чем инет вырубилься, если захожу на новые сайты , > >а внутри этого форума навигация работает нормально все заработало надо было разрешить DNS: permit ip host DNS host interface Serial0/0.1 всем спасибо!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]