forum.opennet.ru - "Последовательность написания правил в ACL" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Последовательность написания правил в ACL"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Последовательность написания правил в ACL"
Сообщение от Андрей (??) on 29-Сен-04, 11:36 (MSK)
Добрый день! Помогите, пожалуйста, разобраться с последовательностью написания правил в Access-list. Есть необходимость запретить всем выход в и-нет кроме определенных адресов. Имеем: Standard IP access list 2 permit 10.1.1.1 permit 10.1.1.2 Extended IP access list 101 permit ip 10.1.0.0 0.0.255.255 any (3594 matches) Extended IP access list 102 permit ip host 10.1.1.1 any permit ip host 10.1.1.2 any deny ip any any И еще. Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101, 102 и т.д. Принципиально ли написание какого-либо правила в том или инном листе и куда что надо писать. Заранее благодарю за ответ. С уважением, Андрей.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Последовательность написания правил в ACL, Volume, 12:28 , 29-Сен-04, (1)
- Последовательность написания правил в ACL, Андрей, 13:14 , 29-Сен-04, (2)
  - Последовательность написания правил в ACL, sh_, 14:24 , 29-Сен-04, (3)
Последовательность написания правил в ACL, Сереги, 15:19 , 29-Сен-04, (4)
Последовательность написания правил в ACL, Сереги, 15:32 , 29-Сен-04, (5)
Последовательность написания правил в ACL, Андрей, 08:40 , 30-Сен-04, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Последовательность написания правил в ACL"

Сообщение от Volume on 29-Сен-04, 12:28  (MSK)

а мануалфы почитать не пробовали? там русским по белому все написано....

>Добрый день!
>
>Помогите, пожалуйста, разобраться с последовательностью написания правил в Access-list.
>
>Есть необходимость запретить всем выход в и-нет кроме определенных адресов.
>
>Имеем:
>
>Standard IP access list 2
>    permit 10.1.1.1
>    permit 10.1.1.2
>
>Extended IP access list 101
>    permit ip 10.1.0.0 0.0.255.255 any (3594 matches)
>
>Extended IP access list 102
>    permit ip host 10.1.1.1 any
>    permit ip host 10.1.1.2 any
>    deny ip any any
>
>И еще.
>Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101,
>102 и т.д. Принципиально ли написание какого-либо правила в том или
>инном листе и куда что надо писать.
>
>Заранее благодарю за ответ.
>С уважением, Андрей.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Последовательность написания правил в ACL"

Сообщение от Андрей (??) on 29-Сен-04, 13:14  (MSK)

>а мануалфы почитать не пробовали? там русским по белому все написано....
Спасибо за подробный ответ.
P.S. Интересно, те вопросы на которые "гуру" охотно отвечают не описаны в мануалах, CD, http://cisco.com и т.д., а также интересно взглянуть на "спецов", выросших как "спецы" исключительно на мануалах.
P.P.S. Сетка досталась по наследству без бумажных мануалов и CD. Действовать надо наверняка и без особых затрат времени, потому и обратился к Вам, "знающим" для получения быстрой помощи "незнающему".

С уважением, Андрей.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Последовательность написания правил в ACL"

Сообщение от sh_ (??) on 29-Сен-04, 14:24  (MSK)

Listi vipolniayut odni i te zhe funktsii...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Последовательность написания правил в ACL"

Сообщение от Сереги on 29-Сен-04, 15:19  (MSK)

>Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101,
>102 и т.д. Принципиально ли написание какого-либо правила в том или
>инном листе и куда что надо писать.
Листы с 1 по 99 называются стандартными. Могут работать только с source-адресами.
Листы с 100 по 199 - расширеные. Могут осуществлять фильтрацию на основе не только адреса отправителя, но и destination адреса, и протоколов.
Собственно, в твоем примере это и видно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Последовательность написания правил в ACL"

Сообщение от Сереги on 29-Сен-04, 15:32  (MSK)

>Есть необходимость запретить всем выход в и-нет кроме определенных адресов.
Если все делается на основе адресов отправителя, то можно воспользоваться стандартным листом. Например так:
access-list 3 permit host 192.168.0.55
access-list 3 deny 192.168.0.0 0.0.0.255
т.е. разрешили ходить 55-му адресу, а всей сетке запретили.
имей в виду, что в конце каждого листа автоматически добавляется deny any, соответсвтенно, каждый лист должен иметь хотя бы одно разрешающее правило, иначе, он не будет иметь смысла.
после того как сделаешь лист, его надо повесить на интерфейс.
делается это примерно так:
conf t (глобальный режим)
int fa0/1 (выбор нужного интерфейса)
ip access-group 3 out (вешаем лист №3 на ВЫХОД из интерфейса, который смотрит во внешнюю сеть)
end
write mem

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Последовательность написания правил в ACL"

Сообщение от Андрей (??) on 30-Сен-04, 08:40  (MSK)

Добрый день!
Большое всем спасибо.
С Вашей помощью решил задачу вовремя.

Благодарю за ответы.
С уважением, Андрей.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Последовательность написания правил в ACL"
Сообщение от Volume on 29-Сен-04, 12:28 (MSK)
а мануалфы почитать не пробовали? там русским по белому все написано.... >Добрый день! > >Помогите, пожалуйста, разобраться с последовательностью написания правил в Access-list. > >Есть необходимость запретить всем выход в и-нет кроме определенных адресов. > >Имеем: > >Standard IP access list 2 > permit 10.1.1.1 > permit 10.1.1.2 > >Extended IP access list 101 > permit ip 10.1.0.0 0.0.255.255 any (3594 matches) > >Extended IP access list 102 > permit ip host 10.1.1.1 any > permit ip host 10.1.1.2 any > deny ip any any > >И еще. >Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101, >102 и т.д. Принципиально ли написание какого-либо правила в том или >инном листе и куда что надо писать. > >Заранее благодарю за ответ. >С уважением, Андрей.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Последовательность написания правил в ACL"
	Сообщение от Андрей (??) on 29-Сен-04, 13:14 (MSK)
	>а мануалфы почитать не пробовали? там русским по белому все написано.... Спасибо за подробный ответ. P.S. Интересно, те вопросы на которые "гуру" охотно отвечают не описаны в мануалах, CD, http://cisco.com и т.д., а также интересно взглянуть на "спецов", выросших как "спецы" исключительно на мануалах. P.P.S. Сетка досталась по наследству без бумажных мануалов и CD. Действовать надо наверняка и без особых затрат времени, потому и обратился к Вам, "знающим" для получения быстрой помощи "незнающему". С уважением, Андрей.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Последовательность написания правил в ACL"
	Сообщение от sh_ (??) on 29-Сен-04, 14:24 (MSK)
	Listi vipolniayut odni i te zhe funktsii...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "Последовательность написания правил в ACL"
Сообщение от Сереги on 29-Сен-04, 15:19 (MSK)
>Если нетрудно,в двух словах, пожалуйста, опишите разницу между access list 2, 101, >102 и т.д. Принципиально ли написание какого-либо правила в том или >инном листе и куда что надо писать. Листы с 1 по 99 называются стандартными. Могут работать только с source-адресами. Листы с 100 по 199 - расширеные. Могут осуществлять фильтрацию на основе не только адреса отправителя, но и destination адреса, и протоколов. Собственно, в твоем примере это и видно.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Последовательность написания правил в ACL"
Сообщение от Сереги on 29-Сен-04, 15:32 (MSK)
>Есть необходимость запретить всем выход в и-нет кроме определенных адресов. Если все делается на основе адресов отправителя, то можно воспользоваться стандартным листом. Например так: access-list 3 permit host 192.168.0.55 access-list 3 deny 192.168.0.0 0.0.0.255 т.е. разрешили ходить 55-му адресу, а всей сетке запретили. имей в виду, что в конце каждого листа автоматически добавляется deny any, соответсвтенно, каждый лист должен иметь хотя бы одно разрешающее правило, иначе, он не будет иметь смысла. после того как сделаешь лист, его надо повесить на интерфейс. делается это примерно так: conf t (глобальный режим) int fa0/1 (выбор нужного интерфейса) ip access-group 3 out (вешаем лист №3 на ВЫХОД из интерфейса, который смотрит во внешнюю сеть) end write mem
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Последовательность написания правил в ACL"
Сообщение от Андрей (??) on 30-Сен-04, 08:40 (MSK)
Добрый день! Большое всем спасибо. С Вашей помощью решил задачу вовремя. Благодарю за ответы. С уважением, Андрей.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх