The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"access-list проблемы"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"access-list проблемы"  +/
Сообщение от klin (??) on 27-Окт-10, 10:23 
Добрый день

Есть cisco 2811 хочу ограничить трафик из LAN в Инет


interface FastEthernet0/0
description ISP
ip address ISP_IP 255.255.255.252
ip access-group DENY in
ip access-group DENY-out out
ip nat outside
ip inspect FW out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable


sh access-lists DENY-out
Extended IP access list DENY-out
    10 permit ip host 10.35.18.11 host 213.180.204.3
    11 permit ip host 10.35.18.11 host 74.125.87.99
    20 deny ip host 10.35.18.11 any
       ....
    90 permit ip any any


Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем проблема может быть ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "access-list проблемы"  +/
Сообщение от GolDi (??) on 27-Окт-10, 12:34 
>[оверквотинг удален]
>  no cdp enable
> sh access-lists DENY-out
> Extended IP access list DENY-out
>     10 permit ip host 10.35.18.11 host 213.180.204.3
>     11 permit ip host 10.35.18.11 host 74.125.87.99
>     20 deny ip host 10.35.18.11 any
>        ....
>     90 permit ip any any
> Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем
> проблема может быть ?

  Сначала NAT потом уже access-list
http://www.ciscosystems.com/en/US/tech/tk648/tk361/technolog...
Делать надо на входящем interface из локалки

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "access-list проблемы"  +/
Сообщение от klin (??) on 27-Окт-10, 13:07 
>[оверквотинг удален]
>>     10 permit ip host 10.35.18.11 host 213.180.204.3
>>     11 permit ip host 10.35.18.11 host 74.125.87.99
>>     20 deny ip host 10.35.18.11 any
>>        ....
>>     90 permit ip any any
>> Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем
>> проблема может быть ?
>   Сначала NAT потом уже access-list
> http://www.ciscosystems.com/en/US/tech/tk648/tk361/technolog...
>  Делать надо на входящем interface из локалки

Спасибо разобрался, разрешил в настройках NAT-a только определенные адреса, непосредственно с этого компа 10.35.18.11 вижу только разрешенные хосты, но

sh ip nat translations | in 10.35.18.11

tcp  ISP_IP:4      10.35.18.11:139        5.48.135.236:1123     5.48.135.236:1123
tcp  ISP_IP:5      10.35.18.11:139        5.48.135.236:1135     5.48.135.236:1135
tcp  ISP_IP:6      10.35.18.11:139        5.48.135.236:1192     5.48.135.236:1192
tcp  ISP_IP:10     10.35.18.11:139        5.48.135.236:1304     5.48.135.236:1304
tcp  ISP_IP:12     10.35.18.11:139       192.168.1.11:2263     192.168.1.11:2263
tcp  ISP_IP:14     10.35.18.11:139       192.168.1.11:2474     192.168.1.11:2474
tcp  ISP_IP:15     10.35.18.11:139       192.168.1.11:3005     192.168.1.11:3005
tcp  ISP_IP:16     10.35.18.11:139       192.168.1.11:3106     192.168.1.11:3106
tcp  ISP_IP:1      10.35.18.11:139       192.168.1.11:4073     192.168.1.11:4073
tcp  ISP_IP:2      10.35.18.11:139       192.168.1.11:4171     192.168.1.11:4171
tcp  ISP_IP:8      10.35.18.11:139       192.168.1.11:4365     192.168.1.11:4365

Как так? При чем как Вы видите часть адресов серые ..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "access-list проблемы"  +/
Сообщение от GolDi (??) on 27-Окт-10, 14:12 
>[оверквотинг удален]
>   192.168.1.11:3005     192.168.1.11:3005
> tcp  ISP_IP:16     10.35.18.11:139    
>   192.168.1.11:3106     192.168.1.11:3106
> tcp  ISP_IP:1      10.35.18.11:139  
>    192.168.1.11:4073     192.168.1.11:4073
> tcp  ISP_IP:2      10.35.18.11:139  
>    192.168.1.11:4171     192.168.1.11:4171
> tcp  ISP_IP:8      10.35.18.11:139  
>    192.168.1.11:4365     192.168.1.11:4365
> Как так? При чем как Вы видите часть адресов серые ..

Так покажите настройки NAT

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "access-list проблемы"  +/
Сообщение от klin (??) on 27-Окт-10, 15:47 
>[оверквотинг удален]
>> tcp  ISP_IP:16     10.35.18.11:139    
>>   192.168.1.11:3106     192.168.1.11:3106
>> tcp  ISP_IP:1      10.35.18.11:139  
>>    192.168.1.11:4073     192.168.1.11:4073
>> tcp  ISP_IP:2      10.35.18.11:139  
>>    192.168.1.11:4171     192.168.1.11:4171
>> tcp  ISP_IP:8      10.35.18.11:139  
>>    192.168.1.11:4365     192.168.1.11:4365
>> Как так? При чем как Вы видите часть адресов серые ..
>  Так покажите настройки NAT

ip access-list extended NAT
permit ip host 10.35.18.11 host 213.180.204.3
permit ip host 10.35.18.11 host 74.125.87.99

route-map NAT permit10
match ip address NAT
match interface FastEthernet0/0


ip nat inside source route-map NAT interface FastEthernet0/0 overload

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "access-list проблемы"  +/
Сообщение от Merridius on 11-Ноя-10, 00:12 
>[оверквотинг удален]
>>>    192.168.1.11:4365     192.168.1.11:4365
>>> Как так? При чем как Вы видите часть адресов серые ..
>>  Так покажите настройки NAT
> ip access-list extended NAT
> permit ip host 10.35.18.11 host 213.180.204.3
> permit ip host 10.35.18.11 host 74.125.87.99
> route-map NAT permit10
> match ip address NAT
> match interface FastEthernet0/0
> ip nat inside source route-map NAT interface FastEthernet0/0 overload

Зачем тебе с роутмапом городить конструкцию, да еще match interface FastEthernet0/0 зачем то в него засунул.
Через ACL определи кого натить, его (ACL) и вставляй в нат.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру