URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19446
[ Назад ]

Исходное сообщение
"ACL и Nat-inside на интерфейсе"

Отправлено psizo3552 , 11-Авг-09 09:36 
Добрый день и ночь всем!!
Есть маршрутизатор со следующей прошивкой "c1841-adventerprisek9-mz.124-15". Один интерфейс подключен к интернету, имеет статический ип. Второй интерфейс смотрит во внутреннюю сеть, куда по DHCP раздаются адреса. Необходимо организовать доступ для станций из внутренней сети в интернет через overload внешнего интерфейса. В то же время интернет должен быть зарезан, т. е. октрыты сугубо определенные ресурсы.
Сначала пытался сделать ограничение на доступ, повесив на вход внутреннего интерфейса acl-ку. Но успех имел место весьма сомнительный.

interface FastEthernet0/0        // внешний интерфейс
ip address AAA.AAA.AAA.AAA MMM.MMM.MMM.MMM
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto

interface FastEthernet0/1
ip address 172.16.166.1 255.255.255.0
ip access-group List in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto

ip nat inside source list NAT interface FastEthernet0/0 overload

ip access-list extended NAT
permit ip 172.16.166.0 0.0.0.255 any
ip access-list extended List
...
...
...
deny ip any any // для наглядности

ACL не привожу, там перепроверял все по 100 раз. Но доступ есть по сути хоть куда. В частности закрыт http доступ, но странички веб-сайтов все равно частично открываются - появляются заголовки, верхние строки и элементы управления, чего быть не должно. Вообщем потом уже подумал, что схема не совсем правильная, что нужно ограничивать доступ сразу в нате.

Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе access-list не смотрит, получается?

В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL List вообще отрубил - инета не стало вообще.

Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за понимание.


Содержание

Сообщения в этом обсуждении
"ACL и Nat-inside на интерфейсе"
Отправлено Murzik , 11-Авг-09 12:31 
>
>
>interface FastEthernet0/1
> ip address 172.16.166.1 255.255.255.0
> ip access-group List in

Это убираем!
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
>
>ip nat inside source list NAT interface FastEthernet0/0 overload

строчка вида : ip nat inside sourse list List interface Fa0/0 overload
>
>ip access-list extended NAT
> permit ip 172.16.166.0 0.0.0.255 any

И эти 2 строчки убираем
>ip access-list extended List

Тут правила доступа вида
permit ip host 172.16.166.2 host XX.XX.XX.XX
если надо указываем порты доступа
>[оверквотинг удален]
>
>
>Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе
>access-list не смотрит, получается?
>
>В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL
>List вообще отрубил - инета не стало вообще.
>
>Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за
>понимание.

Если надо пример пиши...


"ACL и Nat-inside на интерфейсе"
Отправлено Eduard_k , 11-Авг-09 17:13 
>Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе
>access-list не смотрит, получается?

Должен смотреть.
Порядок обработки пакетов на интерфейсах описан в документе NAT order of operations
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...


"ACL и Nat-inside на интерфейсе"
Отправлено psizo3552 , 08-Сен-09 14:33 
Большое спасибо за ответы!! Посмотрю, проверю, попробую. Как что-нибудь определится, напишу.