forum.opennet.ru - "cisco acl" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"cisco acl"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"cisco acl"
Сообщение от guest (??) on 16-Авг-07, 10:36
Всем добрый день! Есть небольшой вопрос про аксэсс листы в циске. На 3750 создал такой acl: access-list 110 permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps log-input access-list 110 permit udp 192.168.5.0 0.0.0.255 eq bootpc host 255.255.255.255 eq bootps log-input access-list 110 permit ip 192.168.5.0 0.0.0.255 host 192.168.5.2 log-input access-list 110 deny ip any any log-input идея такая, есть гостевой влан (192.168.5.0/24). первые две записи разрешают хостам из этого влана получить адрес по dhcp. 3я запись - разрешать этому влану ходить на свой гейтвей. ну и 4ая соответсвенно запрещать всё остальное. логи пишутся на bsd сервер. Вот только почему-то логи от первых двух записей как хост получает адрес есть и логи от 4ой записи есть. а от третей ничего не пишется, хотя я этим хостом полазил по инету и ожидал в логах увидеть что-нибудь по этому поводу. видимо я чего-то не понимаю :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

cisco acl, sh_, 10:56 , 16-Авг-07, (1)

cisco acl, guest, 11:06 , 16-Авг-07, (2)

cisco acl, sh_, 12:12 , 16-Авг-07, (3)

cisco acl, guest, 12:37 , 16-Авг-07, (4)

cisco acl, StSphinx, 14:34 , 16-Авг-07, (5)

cisco acl, guest, 18:22 , 16-Авг-07, (6)

cisco acl, StSphinx, 00:10 , 17-Авг-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "cisco acl"

Сообщение от sh_ (??) on 16-Авг-07, 10:56

no access-list 110 permit ip 192.168.5.0 0.0.0.255 host 192.168.5.2 log-input
access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco acl"

Сообщение от guest (??) on 16-Авг-07, 11:06

>no access-list 110 permit ip 192.168.5.0 0.0.0.255 host 192.168.5.2 log-input
>access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input
access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input
но ведь эта строчка разрешит ходить в другие вланы, что мне не надо, хочется разрешить только ходить в инет и чтобы лог писался.
хотя для тестов конечно тоже проверю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco acl"

Сообщение от sh_ (??) on 16-Авг-07, 12:12

Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco acl"

Сообщение от guest (??) on 16-Авг-07, 12:37

>Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы.
Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать всё", а выше то что надо открыть, а не наоборот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco acl"

Сообщение от StSphinx (??) on 16-Авг-07, 14:34

>>Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы.
>
>Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать
>всё", а выше то что надо открыть, а не наоборот.
Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных к хостам вне пределов данной подсети, dst IP будет не адрес шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте доступ в адресной пространство других VLAN'ов а потом открывайте ко всему остальному.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "cisco acl"

Сообщение от guest (??) on 16-Авг-07, 18:22

>[оверквотинг удален]
>>Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать
>>всё", а выше то что надо открыть, а не наоборот.
>
>Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но
>клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных
>к хостам вне пределов данной подсети, dst IP будет не адрес
>шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то
>увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте
>доступ в адресной пространство других VLAN'ов а потом открывайте ко всему
>остальному.
клиенты ходят не на сам шлюз, но через него в инет. эх, надо читать литературу по ip пакетам )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "cisco acl"

Сообщение от StSphinx (??) on 17-Авг-07, 00:10

>[оверквотинг удален]
>>Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но
>>клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных
>>к хостам вне пределов данной подсети, dst IP будет не адрес
>>шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то
>>увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте
>>доступ в адресной пространство других VLAN'ов а потом открывайте ко всему
>>остальному.
>
>клиенты ходят не на сам шлюз, но через него в инет. эх,
>надо читать литературу по ip пакетам )
Правильно. Именно на это я и хотел обратить ваше внимание.
Поищите на просторах сети книгу Ричарда У. Стивенса "Протоколы TCP/IP".
Рекомендую. Часть материала конечно несколько устарела к данному моменту, но качество изложения материала это с лихвой компенсирует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco acl"
Сообщение от sh_ (??) on 16-Авг-07, 10:56
no access-list 110 permit ip 192.168.5.0 0.0.0.255 host 192.168.5.2 log-input access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "cisco acl"
	Сообщение от guest (??) on 16-Авг-07, 11:06
	>no access-list 110 permit ip 192.168.5.0 0.0.0.255 host 192.168.5.2 log-input >access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input access-list 110 permit ip 192.168.5.0 0.0.0.255 any log-input но ведь эта строчка разрешит ходить в другие вланы, что мне не надо, хочется разрешить только ходить в инет и чтобы лог писался. хотя для тестов конечно тоже проверю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "cisco acl"
	Сообщение от sh_ (??) on 16-Авг-07, 12:12
	Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "cisco acl"
	Сообщение от guest (??) on 16-Авг-07, 12:37
	>Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы. Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать всё", а выше то что надо открыть, а не наоборот.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "cisco acl"
	Сообщение от StSphinx (??) on 16-Авг-07, 14:34
	>>Ну значит перед ней поставьте правила, запрещающие ходить в другие VLAN'ы. > >Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать >всё", а выше то что надо открыть, а не наоборот. Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных к хостам вне пределов данной подсети, dst IP будет не адрес шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте доступ в адресной пространство других VLAN'ов а потом открывайте ко всему остальному.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "cisco acl"
	Сообщение от guest (??) on 16-Авг-07, 18:22
	>[оверквотинг удален] >>Это понятно, просто я думаю что правило по умолчанию должно быть "запрещать >>всё", а выше то что надо открыть, а не наоборот. > >Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но >клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных >к хостам вне пределов данной подсети, dst IP будет не адрес >шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то >увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте >доступ в адресной пространство других VLAN'ов а потом открывайте ко всему >остальному. клиенты ходят не на сам шлюз, но через него в инет. эх, надо читать литературу по ip пакетам )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "cisco acl"
	Сообщение от StSphinx (??) on 17-Авг-07, 00:10
	>[оверквотинг удален] >>Так вы и открыли. Доступ к DHCP и доступ к шлюзу. Но >>клиенты то у вас _на_сам_шлюз_ наверное не ходят? В пакетах обращенных >>к хостам вне пределов данной подсети, dst IP будет не адрес >>шлюза данной подсети. А вот если вы попробуете ping IP_адрес_шлюза то >>увидите свои пакетики в логе. Отсюда и следует, что сначала закрывайте >>доступ в адресной пространство других VLAN'ов а потом открывайте ко всему >>остальному. > >клиенты ходят не на сам шлюз, но через него в инет. эх, >надо читать литературу по ip пакетам ) Правильно. Именно на это я и хотел обратить ваше внимание. Поищите на просторах сети книгу Ричарда У. Стивенса "Протоколы TCP/IP". Рекомендую. Часть материала конечно несколько устарела к данному моменту, но качество изложения материала это с лихвой компенсирует.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]