The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ACL на 2611"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"ACL на 2611"  
Сообщение от del_mo email(ok) on 18-Апр-06, 18:31 
Всем доброго времени суток!
Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса типа:
interface FastEthernet0/1
ip address 100.100.100.99 255.255.255.252 secondary
etc
etc
ip address 100.100.100.95 255.255.255.252

Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его к 1-му интерфейсу. Сейчас у меня вот такой acl, но он не пашет, почему - не знаю.
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
90 deny tcp 100.100.100.98 0.0.0.3 any
100 deny tcp any 100.100.100.98 0.0.0.3
В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997. Все остальное закрыть. Кто что посоветует, буду благодарен.
Всем заранее сэнки...
ЗЫ. Айпишники, как вы поняли, взяты с потолка )))

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

  • ACL на 2611, fantom, 18:51 , 18-Апр-06, (1)  
    • ACL на 2611, vorch, 16:48 , 19-Апр-06, (2)  

Сообщения по теме [Сортировка по времени, UBB]


1. "ACL на 2611"  
Сообщение от fantom (??) on 18-Апр-06, 18:51 
>Всем доброго времени суток!
>Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через
>F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса
>типа:
>interface FastEthernet0/1
>ip address 100.100.100.99 255.255.255.252 secondary
>etc
>etc
>ip address 100.100.100.95 255.255.255.252
>
>Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали
>только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его
>к 1-му интерфейсу. Сейчас у меня вот такой acl, но он
>не пашет, почему - не знаю.
>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
>30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
>40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
>50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
>60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
>70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
>80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
>90 deny tcp 100.100.100.98 0.0.0.3 any
>100 deny tcp any 100.100.100.98 0.0.0.3
>В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997.
>Все остальное закрыть. Кто что посоветует, буду благодарен.
>Всем заранее сэнки...
>ЗЫ. Айпишники, как вы поняли, взяты с потолка )))


И небудет пахать :)
может конфиг покажешь, как ACL записан и куда повешен?

и еще, если все это в одном ACL, то неправильно
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp

а надо
10 permit tcp any eq smtp 100.100.100.98 0.0.0.3

ну и далее по тексту....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ACL на 2611"  
Сообщение от vorch on 19-Апр-06, 16:48 
>>Всем доброго времени суток!
>>Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через
>>F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса
>>типа:
>>interface FastEthernet0/1
>>ip address 100.100.100.99 255.255.255.252 secondary
>>etc
>>etc
>>ip address 100.100.100.95 255.255.255.252
>>
>>Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали
>>только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его
>>к 1-му интерфейсу. Сейчас у меня вот такой acl, но он
>>не пашет, почему - не знаю.
>>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>>20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
>>30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
>>40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
>>50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
>>60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
>>70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
>>80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
>>90 deny tcp 100.100.100.98 0.0.0.3 any
>>100 deny tcp any 100.100.100.98 0.0.0.3
>>В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997.
>>Все остальное закрыть. Кто что посоветует, буду благодарен.
>>Всем заранее сэнки...
>>ЗЫ. Айпишники, как вы поняли, взяты с потолка )))
>
>
>И небудет пахать :)
>может конфиг покажешь, как ACL записан и куда повешен?
>
>и еще, если все это в одном ACL, то неправильно
>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>
>а надо
>10 permit tcp any eq smtp 100.100.100.98 0.0.0.3
>
>ну и далее по тексту....

Порядок то как раз правильный, в extended ACL порт (диапазон) указывается в конце.
Судя по всему все правила записаны в один ACL, тогда неверно писать зеркальные правила
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
поскольку ACL вешается на интерфейс с указанием направления in/out. Т.е. в любом случае половина правил смысла иметь не будет

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру