forum.opennet.ru - "Пропадает траффик" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Пропадает траффик"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Пропадает траффик"
Сообщение от al_m (ok) on 26-Апр-05, 15:42 (MSK)
Доброго времени! Конфигурация такая: есть роутер Cisco 2600, стоящий файерволом на границе DMZ-WAN, который интерфейсом fa0/0 с приватным ip (192.168.100.50) включен в сеть провайдера. Внешний же ip подключен в DMZ. В DMZ также находится комп являющийся шлюзом в локальную сеть.Конфиг: Current configuration : 3274 bytes ! ! Last configuration change at 12:17:40 MSK Tue Apr 26 2005 ! NVRAM config last updated at 19:08:07 MSK Thu Apr 21 2005 ! version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname logging queue-limit 100 logging buffered 4096 debugging enable secret 5 enable password ip subnet-zero ! ip audit notify log ip audit po max-events 100 ! call rsvp-sync ! interface FastEthernet0/0 ip address 192.168.100.50 255.255.255.224 speed 10 half-duplex ! interface FastEthernet0/1 ip address 62.89.247.201 255.255.255.248 ip access-group 120 in duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.100.33 no ip http server ! access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log access-list 110 permit icmp any any net-unreachable access-list 110 permit icmp any any host-unreachable access-list 110 permit icmp any any port-unreachable access-list 110 permit icmp any any parameter-problem access-list 110 permit icmp any any packet-too-big access-list 110 permit icmp any any administratively-prohibited access-list 110 permit icmp any any source-quench access-list 110 permit icmp any any echo-reply log access-list 110 permit icmp any any ttl-exceeded access-list 110 deny icmp any any access-list 120 permit ip any any access-list 120 permit icmp any any net-unreachable access-list 120 permit icmp any any host-unreachable access-list 120 permit icmp any any port-unreachable access-list 120 permit icmp any any parameter-problem access-list 120 permit icmp any any packet-too-big access-list 120 permit icmp any any administratively-prohibited access-list 120 permit icmp any any source-quench access-list 120 permit icmp any any echo-reply log access-list 120 permit icmp any any ttl-exceeded access-list 120 deny icmp any any snmp-server community public1 RO snmp-server enable traps tty ! dial-peer cor custom line con 0 line aux 0 line vty 0 4 password login ! В приведенном конфиге на интерфейсе fa0/0 нет назначенной access-group,а по идее там должно быть следующее "ip access-group 110 in". Но как только прописываешь это дело на интерфейс, пропадает http трафик в локалке. Господа, подскажите что может быть не так с этим конфигом ?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Пропадает траффик, denn, 16:02 , 26-Апр-05, (1)
- Пропадает траффик, al_m, 16:47 , 26-Апр-05, (2)
- Пропадает траффик, al_m, 16:58 , 26-Апр-05, (4)
Пропадает траффик, al_m, 16:54 , 26-Апр-05, (3)
- Пропадает траффик, denn, 17:12 , 26-Апр-05, (5)
  - Пропадает траффик, al_m, 20:49 , 26-Апр-05, (6)
    - Пропадает траффик, Lacunacoil, 10:01 , 27-Апр-05, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Пропадает траффик"

Сообщение от denn (??) on 26-Апр-05, 16:02  (MSK)

может я ии не заметил.. но не нашел разрешения 62 сетке на выход

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Пропадает траффик"

Сообщение от al_m (ok) on 26-Апр-05, 16:47  (MSK)

>может я ии не заметил.. но не нашел разрешения 62 сетке на
>выход

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Пропадает траффик"

Сообщение от al_m (ok) on 26-Апр-05, 16:58  (MSK)

>может я ии не заметил.. но не нашел разрешения 62 сетке на
>выход
А можно поподробнее? Что нужно добавить ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Пропадает траффик"

Сообщение от al_m (ok) on 26-Апр-05, 16:54  (MSK)

не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует ...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Пропадает траффик"

Сообщение от denn (??) on 26-Апр-05, 17:12  (MSK)

>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>...
access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
например

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Пропадает траффик"

Сообщение от al_m (ok) on 26-Апр-05, 20:49  (MSK)

>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>>...
>
>access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
>например
при таком раскладе мне придется еще в строке "ip access-group 10 in" изменить на "out"? Сделал я так, но почему же не работает мой исходный конфиг? Там ведь тоже самое, только получатели и источники местами поменять и in на out.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Пропадает траффик"

Сообщение от Lacunacoil (??) on 27-Апр-05, 10:01  (MSK)

>>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует
>>>...
>>
>>access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80
>>например
>
>при таком раскладе мне придется еще в строке "ip access-group 10 in"
>изменить на "out"? Сделал я так, но почему же не работает
>мой исходный конфиг? Там ведь тоже самое, только получатели и источники
>местами поменять и in на out.
Нет менять ненадо in на out.
in имеется ввиду: входящие пакеты в интерфейс, они могут выходить из другова интерфейса и входить в этот.
>Там ведь тоже самое, только получатели и источники
>местами поменять и in на out.

Так как нужно разрешать доступ не только к твоей сети ну и от твоей сети, одновременно !

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Пропадает траффик"
Сообщение от denn (??) on 26-Апр-05, 16:02 (MSK)
может я ии не заметил.. но не нашел разрешения 62 сетке на выход
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Пропадает траффик"
	Сообщение от al_m (ok) on 26-Апр-05, 16:47 (MSK)
	>может я ии не заметил.. но не нашел разрешения 62 сетке на >выход
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Пропадает траффик"
	Сообщение от al_m (ok) on 26-Апр-05, 16:58 (MSK)
	>может я ии не заметил.. но не нашел разрешения 62 сетке на >выход А можно поподробнее? Что нужно добавить ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "Пропадает траффик"
Сообщение от al_m (ok) on 26-Апр-05, 16:54 (MSK)
не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует ...
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Пропадает траффик"
	Сообщение от denn (??) on 26-Апр-05, 17:12 (MSK)
	>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует >... access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80 например
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Пропадает траффик"
	Сообщение от al_m (ok) on 26-Апр-05, 20:49 (MSK)
	>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует >>... > >access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80 >например при таком раскладе мне придется еще в строке "ip access-group 10 in" изменить на "out"? Сделал я так, но почему же не работает мой исходный конфиг? Там ведь тоже самое, только получатели и источники местами поменять и in на out.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Пропадает траффик"
	Сообщение от Lacunacoil (??) on 27-Апр-05, 10:01 (MSK)
	>>>не сказал что ICMP (ping и traceroute) пропускает и все, остальное блокирует >>>... >> >>access-list 110 permit tcp 62.89.247.200 0.0.0.7 any eq 80 >>например > >при таком раскладе мне придется еще в строке "ip access-group 10 in" >изменить на "out"? Сделал я так, но почему же не работает >мой исходный конфиг? Там ведь тоже самое, только получатели и источники >местами поменять и in на out. Нет менять ненадо in на out. in имеется ввиду: входящие пакеты в интерфейс, они могут выходить из другова интерфейса и входить в этот. >Там ведь тоже самое, только получатели и источники >местами поменять и in на out. Так как нужно разрешать доступ не только к твоей сети ну и от твоей сети, одновременно !
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]