форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Access-list или куда поставить In и out?"

Сообщение от momo (ok) on 28-Янв-08, 13:56

interface FastEthernet0/0 ip address 192.168.10.182 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map 200 speed auto full-duplex no mop enabled ! interface FastEthernet0/1 description Comstar ip address xxxx.95.5 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/3/0 switchport access vlan 2 ! interface FastEthernet0/3/1 switchport access vlan 3 ! interface FastEthernet0/3/2 shutdown ! interface FastEthernet0/3/3 shutdown ! interface Vlan2 description DMZ ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ! ip route 0.0.0.0 0.0.0.0 xxxx.95.1 ! ! no ip http server no ip http secure-server ip nat pool Comstar xxxx.95.0 xxxx.95.255 netmask 255.255.255.0 ip nat inside source list 1 pool Comstar overload ! ip access-list extended Comstar permit icmp any host xxxx.95.5 permit gre any host xxxx.95.5 permit tcp any xxxx.95.0 0.0.0.255 eq www permit tcp any xxxx.95.0 0.0.0.255 eq smtp permit tcp any xxxx.95.0 0.0.0.255 eq pop3 permit udp any xxxx.95.0 0.0.0.255 eq ntp permit tcp any xxxx.95.0 0.0.0.255 eq domain permit udp any xxxx.95.0 0.0.0.255 eq domain deny   ip any any log ip access-list extended Local_to_Comstar permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255 permit icmp 192.168.10.0 0.0.0.255 any permit tcp 192.168.10.0 0.0.0.255 any eq www permit tcp 192.168.10.0 0.0.0.255 any eq smtp permit tcp 192.168.10.0 0.0.0.255 any eq pop3 permit tcp 192.168.10.0 0.0.0.255 any eq domain permit udp 192.168.10.0 0.0.0.255 any eq domain permit tcp 192.168.10.0 0.0.0.255 any eq 5190 permit tcp 192.168.10.0 0.0.0.255 any eq 4430 permit tcp 192.168.10.0 0.0.0.255 any eq 443 permit tcp 192.168.10.0 0.0.0.255 any eq ftp deny   ip any any log ! access-list 1 permit 192.168.10.0 0.0.0.255 В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил. Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то фильтрация исходящих пакетов происходит нормуль.... ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть быть и что в спсики доступа нужно добавить чтобы все правила заработали??? в этом деле не давно совсем, поэтому всем заранее спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Access-list или куда поставить In и out?"

Сообщение от GolDi (??) on 28-Янв-08, 15:12

>[оверквотинг удален] > >Когда я накладываю access-group Local_to_Comstar In на внутрений интерфейс interface FastEthernet0/0 то >фильтрация исходящих пакетов происходит нормуль.... > >ОДнако когда я пытаюсь наложить access-group Comstar in на внешний интерфейс interface >FastEthernet0/1 то сразу Срубается инет и пакеты перестают ходить. ЧТо можеть >быть и что в спсики доступа нужно добавить чтобы все правила >заработали??? > >в этом деле не давно совсем, поэтому всем заранее спасибо! Посмотри в логе, почему drop-ся пакеты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Access-list или куда поставить In и out?"

Сообщение от ajaxx on 28-Янв-08, 15:23

собственно, всё логично..вы понимаете смысл in и out? если вы повесите приведенный acl на вход wan-овского интерфейса, то пакеты вида 192.168, приходящие из инета, естественно, не будут иметь смысла и будет срабатывать дефолтное deny any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Access-list или куда поставить In и out?"
	Сообщение от momo (ok) on 28-Янв-08, 15:40
	>собственно, всё логично..вы понимаете смысл in и out? если вы повесите приведенный >acl на вход wan-овского интерфейса, то пакеты вида 192.168, приходящие из >инета, естественно, не будут иметь смысла и будет срабатывать дефолтное deny >any any что значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут прийти? - nat............ собственно кто может поправить конфиг при этом доступ в инет должен сохрантся и все те порты которые я указал для доступа из вне должны отстаться закрытыми всем спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Access-list или куда поставить In и out?"
	Сообщение от momo (ok) on 28-Янв-08, 19:16
	>[оверквотинг удален] >>any any > >что значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут >прийти? - nat............ > >собственно кто может поправить конфиг при этом доступ в инет должен сохрантся >и все те порты которые я указал для доступа из вне >должны отстаться закрытыми > >всем спасибо что так все плохо и ни кто не может помочь?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Access-list или куда поставить In и out?"
	Сообщение от ajaxx on 28-Янв-08, 21:03
	>что значит пакеты приходящие из сети 192.168...из инета.....как они от туда могут >прийти? - nat............ это значит, что я привел пример неверного матчинга вашего акцесс-листа, если его повесить на вход внешнего интерфейса.. >В такой конфигурации инет всех есть так как с помощью access-list 1 я все всем разрешил и чем этот первоначальный вариант не устраивает? пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Access-list или куда поставить In и out?"
	Сообщение от ajaxx on 28-Янв-08, 21:25
	>пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить? прошу прощения, туплю в конце дня.. на внешний интерфейс нужно повесить permit tcp www и deny tcp eq [ваши порты]
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Access-list или куда поставить In и out?"
	Сообщение от momo (ok) on 28-Янв-08, 23:08
	>>пожалуйста, научитесь формулировать вопросы...что вы хотите в результате получить? что разрешить? что запретить? > >прошу прощения, туплю в конце дня.. > >на внешний интерфейс нужно повесить permit tcp www и deny tcp eq >[ваши порты] Сложно разобрать а тем более следовать вашему ответу ........Можно конкретику.........ВОт есть список доступа который я хочу повесить на внешний интерфейс чтобы разрешить и заблокировать  доступ из инета к моей внутренний сети по тем или иным портам. ip access-list extended Comstar permit icmp any host xxxx.95.5 permit gre any host xxxx.95.5 permit tcp any xxxx.95.0 0.0.0.255 eq www permit tcp any xxxx.95.0 0.0.0.255 eq smtp permit tcp any xxxx.95.0 0.0.0.255 eq pop3 permit udp any xxxx.95.0 0.0.0.255 eq ntp permit tcp any xxxx.95.0 0.0.0.255 eq domain permit udp any xxxx.95.0 0.0.0.255 eq domain deny   ip any any log Так вот что нужно добавить в этот список доступа чтобы инет в не срубался после приминения этого списка на внешний интерфейс......такое ощущение что пакет уходи в инет но потом не может прйти обратно......или я не умею формулировать свои мысли раз всех так запутал....на мой взгляд весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы траффик инетовский заходит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Access-list или куда поставить In и out?"
	Сообщение от CrAzOiD (ok) on 28-Янв-08, 23:47
	>[оверквотинг удален] >permit udp any xxxx.95.0 0.0.0.255 eq domain >deny   ip any any log > > >Так вот что нужно добавить в этот список доступа чтобы инет в >не срубался после приминения этого списка на внешний интерфейс......такое ощущение что >пакет уходи в инет но потом не может прйти обратно......или я >не умею формулировать свои мысли раз всех так запутал....на мой взгляд >весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы >траффик инетовский заходит permit tcp any any established и на интерфейс его int fa0/0 ip access-group Comstar in
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Access-list или куда поставить In и out?"
	Сообщение от momo (ok) on 29-Янв-08, 00:13
	>[оверквотинг удален] >>пакет уходи в инет но потом не может прйти обратно......или я >>не умею формулировать свои мысли раз всех так запутал....на мой взгляд >>весьма нормально выразился.....просто нужно добавить строчки в вышеуказаный список доступа чтобы >>траффик инетовский заходит > >permit tcp any any established > >и на интерфейс его >int fa0/0 >ip access-group Comstar in Ага сделал.......прописал permit tcp any any established  и сунул на интерфейс......так этой самой командой я открыл дооступ всем из инета в мою локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это нужно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Access-list или куда поставить In и out?"
	Сообщение от CrAzOiD (ok) on 29-Янв-08, 00:43
	>[оверквотинг удален] >>permit tcp any any established >> >>и на интерфейс его >>int fa0/0 >>ip access-group Comstar in > >Ага сделал.......прописал permit tcp any any established  и сунул на интерфейс......так >этой самой командой я открыл дооступ всем из инета в мою >локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это >нужно? кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя бы проверить тот самый доступ который якобы теперь открыт всем... вообщем читайте основы TCP/IP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Access-list или куда поставить In и out?"
	Сообщение от momo (ok) on 29-Янв-08, 11:27
	>[оверквотинг удален] >>>ip access-group Comstar in >> >>Ага сделал.......прописал permit tcp any any established  и сунул на интерфейс......так >>этой самой командой я открыл дооступ всем из инета в мою >>локалку.......получается все правила выше полностью игнорируются ирабоатет последнее.а зачем мне это >>нужно? > >кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя >бы проверить тот самый доступ который якобы теперь открыт всем... >вообщем читайте основы TCP/IP а что утверждать то? проверил, к примеру я могу коннктится по теонету из инета к моей циске запрасто хотя протокол 23 я не открывал......насколько я понимаю после наложения permit tcp any any established  на внешний интерфейс открывается доступ все из инета в наш сеть
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Access-list или куда поставить In и out?"
	Сообщение от djmrak (??) on 31-Янв-08, 08:09
	>[оверквотинг удален] >> >>кхм... чего вы и кому открыли? прежде чем утверждать что-то попробуйте хотя >>бы проверить тот самый доступ который якобы теперь открыт всем... >>вообщем читайте основы TCP/IP > >а что утверждать то? проверил, к примеру я могу коннктится по теонету >из инета к моей циске запрасто хотя протокол 23 я не >открывал......насколько я понимаю после наложения permit tcp any any established   >на внешний интерфейс открывается доступ все из инета в наш сеть > Уважаемый Здравствйте! Вам же говорят что необходимо посмотреть что такое NAT, как он работает, а то что Вы имеете доступ по телнету к Вашей Cisco это не говорит о том что все имеют доступ из инета к Вашей сети
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]