forum.opennet.ru - "Access-list" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Access-list"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Access-list"
Сообщение от rimon (??) on 22-Июл-06, 15:30
Снова всем привет. Такой вопрос у меня. Есть Cisco 2611 с двумя eth. e0/0 192.168.1.1/24 e0/1 192.168.2.1/24 Нужно всю сеть 192.168.2.0/24 защитить ACL так чтобы они ходили только куда можно (www, почта) а к ним ни кто. Делал я это так. ip access-list extended permit_out_from_eth0/1 permit tcp 192.168.2.0 0.0.0.255 any established log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 deny ip any any log ip access-list extended deny_in_to_eth0/1 deny ip any 192.168.2.0 0.0.0.255 log conf t int f0/1 ip access-g permit_out_from_eth0/1 in ip acces deny_in_to_eth0/1 out Когда сделал то никто не работает. Если только "ip access-g permit_out_from_eth0/1 in", то это точти то - т.е можно зайти на РС а сети 192.168.2.0 по RDP. Что у меня не так? Спасибо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Access-list, ilya, 15:36 , 22-Июл-06, (1)

Access-list, chuvy, 16:04 , 22-Июл-06, (2)

Access-list, rimon, 16:25 , 22-Июл-06, (4)

Access-list, rimon, 16:13 , 22-Июл-06, (3)

Access-list, ilya, 16:29 , 22-Июл-06, (5)

Access-list, rimon, 16:42 , 22-Июл-06, (6)
Access-list, limit, 14:45 , 10-Авг-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Access-list"

Сообщение от ilya (ok) on 22-Июл-06, 15:36

конфиг в студию

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Access-list"

Сообщение от chuvy (??) on 22-Июл-06, 16:04

>конфиг в студию
ip access-list extended deny_in_to_eth0/1
    deny ip any 192.168.2.0 0.0.0.255 log
прикольно
все заприщаешь и еще что-то хочешь чтоб работало
permit tcp any 192.168.2.0 0.0.0.255 established
permit tcp any 192.168.2.0 0.0.0.255 gt 1025
permit udp any 192.168.2.0 0.0.0.255 gt 1025
deny ip any network
само просто

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Access-list"

Сообщение от rimon (??) on 22-Июл-06, 16:25

>>конфиг в студию
>ip access-list extended deny_in_to_eth0/1
>    deny ip any 192.168.2.0 0.0.0.255 log
>прикольно
>все заприщаешь и еще что-то хочешь чтоб работало
>
>permit tcp any 192.168.2.0 0.0.0.255 established
>permit tcp any 192.168.2.0 0.0.0.255 gt 1025
>permit udp any 192.168.2.0 0.0.0.255 gt 1025
>deny ip any network
>
>само просто

Не знаю правильно ли это. Ведь я запрещаж RDP - 3389. А ты открываешь выше 1025. И потом как на интерфейс этот АCL загнать?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Access-list"

Сообщение от rimon (??) on 22-Июл-06, 16:13

>конфиг в студию
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 192.168.1.2 255.255.255.0
ip access-group permit_out_from_eth01 in
no ip directed-broadcast
!
interface Serial0
no ip address
no ip directed-broadcast
encapsulation frame-relay IETF
!
interface Serial0.1 point-to-point
ip address 11.11.11.2 255.255.255.252
no ip directed-broadcast
frame-relay interface-dlci 16
!
ip access-list extended permit_out_from_eth01
    permit tcp 192.168.2.0 0.0.0.255 any established log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
    deny ip any any log
!
ip access-list extended deny_in_to_eth01
    deny ip any 192.168.2.0 0.0.0.255 log
!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Access-list"

Сообщение от ilya (ok) on 22-Июл-06, 16:29

>>конфиг в студию
>
>interface Ethernet0/0
> ip address 192.168.1.1 255.255.255.0
> no ip directed-broadcast
>!
>interface Ethernet0/1
> ip address 192.168.1.2 255.255.255.0
> ip access-group permit_out_from_eth01 in
> no ip directed-broadcast
>!
>interface Serial0
> no ip address
> no ip directed-broadcast
> encapsulation frame-relay IETF
>!
>interface Serial0.1 point-to-point
> ip address 11.11.11.2 255.255.255.252
> no ip directed-broadcast
> frame-relay interface-dlci 16
>!
>ip access-list extended permit_out_from_eth01
>    permit tcp 192.168.2.0 0.0.0.255 any established log
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
>log
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
>
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
>
>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
>
>    deny ip any any log
>!
>ip access-list extended deny_in_to_eth01
>    deny ip any 192.168.2.0 0.0.0.255 log
>!

1. у вас два эзернета смотрящих в одну сеть?
2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Access-list"

Сообщение от rimon (??) on 22-Июл-06, 16:42

>>>конфиг в студию
>>
>>interface Ethernet0/0
>> ip address 192.168.1.1 255.255.255.0
>> no ip directed-broadcast
>>!
>>interface Ethernet0/1
>> ip address 192.168.1.2 255.255.255.0
>> ip access-group permit_out_from_eth01 in
>> no ip directed-broadcast
>>!
>>interface Serial0
>> no ip address
>> no ip directed-broadcast
>> encapsulation frame-relay IETF
>>!
>>interface Serial0.1 point-to-point
>> ip address 11.11.11.2 255.255.255.252
>> no ip directed-broadcast
>> frame-relay interface-dlci 16
>>!
>>ip access-list extended permit_out_from_eth01
>>    permit tcp 192.168.2.0 0.0.0.255 any established log
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www
>>log
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www
>>
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080
>>
>>    permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060
>>
>>    deny ip any any log
>>!
>>ip access-list extended deny_in_to_eth01
>>    deny ip any 192.168.2.0 0.0.0.255 log
>>!
>
>
>1. у вас два эзернета смотрящих в одну сеть?
>2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0
>?

Опечатка. сеть 192.168.2.0/24 И eth0/1 192.168.2.1/24

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Access-list"

Сообщение от limit (??) on 10-Авг-06, 14:45

Посмотри лог файрволла и разреши, то что они пытаются сделать.
А что за хосты: 172.16.20.х? Это все, что угодно?
Предполагаю, что правильнее: permit tcp 192.168.2.0 0.0.0.255 any eq www

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Access-list"
Сообщение от ilya (ok) on 22-Июл-06, 15:36
конфиг в студию
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Access-list"
	Сообщение от chuvy (??) on 22-Июл-06, 16:04
	>конфиг в студию ip access-list extended deny_in_to_eth0/1 deny ip any 192.168.2.0 0.0.0.255 log прикольно все заприщаешь и еще что-то хочешь чтоб работало permit tcp any 192.168.2.0 0.0.0.255 established permit tcp any 192.168.2.0 0.0.0.255 gt 1025 permit udp any 192.168.2.0 0.0.0.255 gt 1025 deny ip any network само просто
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Access-list"
	Сообщение от rimon (??) on 22-Июл-06, 16:25
	>>конфиг в студию >ip access-list extended deny_in_to_eth0/1 > deny ip any 192.168.2.0 0.0.0.255 log >прикольно >все заприщаешь и еще что-то хочешь чтоб работало > >permit tcp any 192.168.2.0 0.0.0.255 established >permit tcp any 192.168.2.0 0.0.0.255 gt 1025 >permit udp any 192.168.2.0 0.0.0.255 gt 1025 >deny ip any network > >само просто Не знаю правильно ли это. Ведь я запрещаж RDP - 3389. А ты открываешь выше 1025. И потом как на интерфейс этот АCL загнать?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Access-list"
	Сообщение от rimon (??) on 22-Июл-06, 16:13
	>конфиг в студию interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 192.168.1.2 255.255.255.0 ip access-group permit_out_from_eth01 in no ip directed-broadcast ! interface Serial0 no ip address no ip directed-broadcast encapsulation frame-relay IETF ! interface Serial0.1 point-to-point ip address 11.11.11.2 255.255.255.252 no ip directed-broadcast frame-relay interface-dlci 16 ! ip access-list extended permit_out_from_eth01 permit tcp 192.168.2.0 0.0.0.255 any established log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www log permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 deny ip any any log ! ip access-list extended deny_in_to_eth01 deny ip any 192.168.2.0 0.0.0.255 log !
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Access-list"
	Сообщение от ilya (ok) on 22-Июл-06, 16:29
	>>конфиг в студию > >interface Ethernet0/0 > ip address 192.168.1.1 255.255.255.0 > no ip directed-broadcast >! >interface Ethernet0/1 > ip address 192.168.1.2 255.255.255.0 > ip access-group permit_out_from_eth01 in > no ip directed-broadcast >! >interface Serial0 > no ip address > no ip directed-broadcast > encapsulation frame-relay IETF >! >interface Serial0.1 point-to-point > ip address 11.11.11.2 255.255.255.252 > no ip directed-broadcast > frame-relay interface-dlci 16 >! >ip access-list extended permit_out_from_eth01 > permit tcp 192.168.2.0 0.0.0.255 any established log > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www >log > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www > > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 > > permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 > > deny ip any any log >! >ip access-list extended deny_in_to_eth01 > deny ip any 192.168.2.0 0.0.0.255 log >! 1. у вас два эзернета смотрящих в одну сеть? 2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 ?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Access-list"
	Сообщение от rimon (??) on 22-Июл-06, 16:42
	>>>конфиг в студию >> >>interface Ethernet0/0 >> ip address 192.168.1.1 255.255.255.0 >> no ip directed-broadcast >>! >>interface Ethernet0/1 >> ip address 192.168.1.2 255.255.255.0 >> ip access-group permit_out_from_eth01 in >> no ip directed-broadcast >>! >>interface Serial0 >> no ip address >> no ip directed-broadcast >> encapsulation frame-relay IETF >>! >>interface Serial0.1 point-to-point >> ip address 11.11.11.2 255.255.255.252 >> no ip directed-broadcast >> frame-relay interface-dlci 16 >>! >>ip access-list extended permit_out_from_eth01 >> permit tcp 192.168.2.0 0.0.0.255 any established log >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.20 >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.10 eq www >>log >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq www >> >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.2 eq 8080 >> >> permit tcp 192.168.2.0 0.0.0.255 host 172.16.20.4 eq 5060 >> >> deny ip any any log >>! >>ip access-list extended deny_in_to_eth01 >> deny ip any 192.168.2.0 0.0.0.255 log >>! > > >1. у вас два эзернета смотрящих в одну сеть? >2. для интерфейса (сети 1.2) вы преминяете списки доступа с источником 2.0 >? Опечатка. сеть 192.168.2.0/24 И eth0/1 192.168.2.1/24
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Access-list"
	Сообщение от limit (??) on 10-Авг-06, 14:45
	Посмотри лог файрволла и разреши, то что они пытаются сделать. А что за хосты: 172.16.20.х? Это все, что угодно? Предполагаю, что правильнее: permit tcp 192.168.2.0 0.0.0.255 any eq www
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]