https://mobile.opennet.me/openforum/vsluhforumID6/22483.html Доброго времени суток, господа подскажите как решить тривиальную задачу.<br>ЕСТЬ:<br>ЦО и Филиалы между ними туннели, на железе филиала закрыть невозможно, возможность есть только на цыске ЦО.<br>interface Tunnel29<br> ip address 192.168.15.249 255.255.255.252<br> ip mtu 1400<br> tunnel source 91.204.X.X<br> tunnel destination 82.X.X.X<br> tunnel key 1<br> tunnel protection ipsec profile tun shared<br>end<br><br>Задача закрыть весь трафик, а особенно ICMP со стороны филиала, кроме почты.<br><br>Понимаю что нужно повесить на интерфейсе возможно даже данном interface Tunnel29<br><br> ip access-group 147 in<br> ip access-group 148 out<br>А вот токовый ACL написать не могу.<br><br>Этим мы откроем почту, а вот как закрыть ) ?<br>access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq smtp<br>access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq pop3<br>access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 465<br>access-list 147 permit tcp 10.10.11.0 0.0.0.255 host 192.168.0.5 eq 995<br><br>За ранее благодарю!<br> https://mobile.opennet.me/openforum/vsluhforumID6/22483.html#2 Wed, 13 Apr 2011 11:59:00 GMT получилось вот так :<br>access-list 146 permit tcp any host 192.168.0.5 eq smtp<br>access-list 146 permit tcp any host 192.168.0.5 eq pop3<br>access-list 146 permit tcp any host 192.168.0.5 eq 465<br>access-list 146 permit tcp any host 192.168.0.5 eq 995<br>access-list 146 permit icmp any any echo-reply<br>access-list 146 permit tcp any any established<br>access-list 146 deny icmp any any<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22483.html#1 Wed, 13 Apr 2011 02:09:23 GMT Если вы открыли только tcp, то icmp и не должно работать, но можете в начале правил добавить правило:<br>access-list 147 deny icmp 10.10.11.0 0.0.0.255 any<br>Этим вы закроете icmp.<br>