https://opennet.dev/openforum/vsluhforumID6/1520.html Господа пишу простенький ACL на маршрутере 2911 но уперся в проблему DHCP<br>цель ограничить доступ клиентам по времени и портам <br>DHCP на венде с адресом 192.1.2.10 dns там же<br><br>получил такой ACL<br><br>access-list 2131 permit ip any host 192.1.2.10<br>access-list 2131 permit tcp any host 192.0.2.30 eq smtp time-range guest<br>access-list 2131 permit tcp any host 192.0.2.30 eq pop3 time-range guest<br>access-list 2131 deny tcp any 192.0.0.0 0.255.255.255<br>access-list 2131 permit tcp any any eq www time-range guest<br>access-list 2131 permit tcp any any eq smtp time-range guest<br>access-list 2131 permit tcp any any eq 465 time-range guest<br>access-list 2131 permit tcp any any eq 995 time-range guest<br>access-list 2131 permit tcp any any eq 587 time-range guest<br>access-list 2131 permit tcp any any eq pop3 time-range guest<br>access-list 2131 permit tcp any any eq 143 time-range guest<br>access-list 2131 permit tcp any any eq 443 time-range guest<br>access-list 2131 permit udp any any eq nameserver time-range guest<br>####access-lis https://opennet.dev/openforum/vsluhforumID6/1520.html#5 Tue, 28 Oct 2014 13:45:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; access-list 2131 deny ip any any <br>&gt;&gt;&gt; помогите понять что ещё надо прописать чтобы было получение адресов без ip <br>&gt;&gt;&gt; any any <br>&gt;&gt;&gt; маршрутизация поднята на этом же маршрутере <br>&gt;&gt; Разреши еще udp на 67 и 68: <br>&gt;&gt; perm udp any any eq 67 <br>&gt;&gt; perm udp any any eq 68 <br>&gt;&gt; А вообще в конце можно написать deny ip any any log и <br>&gt;&gt; посмотреть какой трафик попадает в этот самый deny.<br>&gt; так ведь первой строкой я весь трафик разрешаю на сервер где dhcp <br><br>тогда вместо 192.... 255.255.255.255 и будет ок<br><br> https://opennet.dev/openforum/vsluhforumID6/1520.html#4 Tue, 28 Oct 2014 13:44:50 GMT &gt;&gt; так ведь первой строкой я весь трафик разрешаю на сервер где dhcp <br>&gt; DHCP работает на броадкастах (255.255.255.255), откуда комп не имеющий адреса может знать <br>&gt; про сервер и про ip адресацию в свой подести? :) <br><br>хммм об этом я как-то не подумал <br> https://opennet.dev/openforum/vsluhforumID6/1520.html#3 Tue, 28 Oct 2014 13:38:38 GMT &gt; так ведь первой строкой я весь трафик разрешаю на сервер где dhcp <br><br>DHCP работает на броадкастах (255.255.255.255), откуда комп не имеющий адреса может знать про сервер и про ip адресацию в свой подести? :)<br> https://opennet.dev/openforum/vsluhforumID6/1520.html#2 Tue, 28 Oct 2014 13:10:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt; адреса не получает <br>&gt;&gt; access-list 2131 deny ip any any <br>&gt;&gt; помогите понять что ещё надо прописать чтобы было получение адресов без ip <br>&gt;&gt; any any <br>&gt;&gt; маршрутизация поднята на этом же маршрутере <br>&gt; Разреши еще udp на 67 и 68: <br>&gt; perm udp any any eq 67 <br>&gt; perm udp any any eq 68 <br>&gt; А вообще в конце можно написать deny ip any any log и <br>&gt; посмотреть какой трафик попадает в этот самый deny.<br><br>так ведь первой строкой я весь трафик разрешаю на сервер где dhcp<br> https://opennet.dev/openforum/vsluhforumID6/1520.html#1 Tue, 28 Oct 2014 12:55:01 GMT &gt; access-list 2131 permit tcp any any eq pop3 time-range guest <br>&gt; access-list 2131 permit tcp any any eq 143 time-range guest <br>&gt; access-list 2131 permit tcp any any eq 443 time-range guest <br>&gt; access-list 2131 permit udp any any eq nameserver time-range guest <br>&gt; ####access-list 2131 permit ip any any time-range guest##### - без этой строчки <br>&gt; адреса не получает <br>&gt; access-list 2131 deny ip any any <br>&gt; помогите понять что ещё надо прописать чтобы было получение адресов без ip <br>&gt; any any <br>&gt; маршрутизация поднята на этом же маршрутере <br><br>Разреши еще udp на 67 и 68:<br><br>perm udp any any eq 67<br>perm udp any any eq 68<br><br>А вообще в конце можно написать deny ip any any log и посмотреть какой трафик попадает в этот самый deny.<br><br><br>