forum.opennet.ru - "настройка acl" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"настройка acl"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"настройка acl"
Сообщение от Алексей (??) on 07-Апр-05, 16:49 (MSK)
Здраствуйте все. Ситуация. Пока для интерфейса не указана следующая строка, трафик идет: ip access-group 110 in, как только эту строчку прописываешь, трафик пропадает. Как выглядит access-list 110: access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log access-list 110 permit icmp any any net-unreachable access-list 110 permit icmp any any host-unreachable access-list 110 permit icmp any any port-unreachable access-list 110 permit icmp any any parameter-problem access-list 110 permit icmp any any packet-too-big access-list 110 permit icmp any any administratively-prohibited access-list 110 permit icmp any any source-quench access-list 110 permit icmp any any echo-reply log access-list 110 permit icmp any any ttl-exceeded access-list 110 deny icmp any any и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при применении приведенных access-листов? Просьба сильно не пинать начинающего.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

настройка acl, roger, 17:02 , 07-Апр-05, (1)
- настройка acl, Алексей, 17:25 , 07-Апр-05, (2)
  - настройка acl, sh_, 22:51 , 07-Апр-05, (3)
    - настройка acl, Алексей, 20:13 , 08-Апр-05, (6)
      - настройка acl, roger, 21:29 , 08-Апр-05, (8)
  - настройка acl, roger, 20:10 , 08-Апр-05, (5)
    - настройка acl, Алексей, 20:19 , 08-Апр-05, (7)
настройка acl, Shod, 07:48 , 08-Апр-05, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "настройка acl"

Сообщение от roger (??) on 07-Апр-05, 17:02  (MSK)

>Здраствуйте все.
>Ситуация.
>
>Пока для интерфейса не указана следующая строка, трафик идет:
>ip access-group 110 in,
>как только эту строчку прописываешь, трафик пропадает.
>
>Как выглядит access-list 110:
>......... SKIP ....................
>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>применении приведенных access-листов?
>Просьба сильно не пинать начинающего
ВОПРОС: А какой траффик пропадает?! :)))

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "настройка acl"

Сообщение от Алексей (??) on 07-Апр-05, 17:25  (MSK)

>>Здраствуйте все.
>>Ситуация.
>>
>>Пока для интерфейса не указана следующая строка, трафик идет:
>>ip access-group 110 in,
>>как только эту строчку прописываешь, трафик пропадает.
>>
>>Как выглядит access-list 110:
>>......... SKIP ....................
>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>применении приведенных access-листов?
>>Просьба сильно не пинать начинающего
>
>ВОПРОС: А какой траффик пропадает?! :)))
Пропадает http трафик. Пинг проходит.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "настройка acl"

Сообщение от sh_ (??) on 07-Апр-05, 22:51  (MSK)

Пропадает ТОЛЬКО http траффик?
Конфиг покажите, если не сложно...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "настройка acl"

Сообщение от Алексей (??) on 08-Апр-05, 20:13  (MSK)

>Пропадает ТОЛЬКО http траффик?
>Конфиг покажите, если не сложно...
Вот мой конфиг:
rcde-ivanovo-gw#sh running-config
Building configuration...
Current configuration : 3042 bytes
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
hostname rcde-ivanovo-gw
logging queue-limit 100
logging buffered 4096 debugging
clock timezone MSK 3
ip subnet-zero
ip audit notify log
ip audit po max-events 100
!
call rsvp-sync
interface FastEthernet0/0
ip address 192.168.100.51 255.255.255.224
speed 10
half-duplex
!
interface FastEthernet0/1
ip address 63.85.247.201 255.255.255.248
ip access-group 120 in
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.100.33
no ip http server
!
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log
access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log
access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log
access-list 110 permit icmp any any net-unreachable
access-list 110 permit icmp any any host-unreachable
access-list 110 permit icmp any any port-unreachable
access-list 110 permit icmp any any parameter-problem
access-list 110 permit icmp any any packet-too-big
access-list 110 permit icmp any any administratively-prohibited
access-list 110 permit icmp any any source-quench
access-list 110 permit icmp any any echo-reply log
access-list 110 permit icmp any any ttl-exceeded
access-list 110 deny   icmp any any
access-list 120 permit ip any any
access-list 120 permit icmp any any net-unreachable
access-list 120 permit icmp any any host-unreachable
access-list 120 permit icmp any any port-unreachable
access-list 120 permit icmp any any parameter-problem
access-list 120 permit icmp any any packet-too-big
access-list 120 permit icmp any any administratively-prohibited
access-list 120 permit icmp any any source-quench
access-list 120 permit icmp any any echo-reply log
access-list 120 permit icmp any any ttl-exceeded
access-list 120 deny   icmp any any
snmp-server community public1 RO
snmp-server enable traps tty
!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
login
!
end

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "настройка acl"

Сообщение от roger (??) on 08-Апр-05, 21:29  (MSK)

>>Пропадает ТОЛЬКО http траффик?
>>Конфиг покажите, если не сложно...
>
>Вот мой конфиг:
>rcde-ivanovo-gw#sh running-config
>Building configuration...
>
>interface FastEthernet0/1
> ip address 63.85.247.201 255.255.255.248
> ip access-group 120 in
> duplex auto
> speed auto
Наверное вы имелли ввиду
ip access-group 120 out ....
Потому что в ином случае всё написано с точностью наоборот ....

Данный акксесс лист пропускает всех кто пришёл через интерфейс Fa0/1 на айпишники 63.85.247.20x .... Тоесть совсем наборот ....

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "настройка acl"

Сообщение от roger (??) on 08-Апр-05, 20:10  (MSK)

>>>Здраствуйте все.
>>>Ситуация.
>>>
>>>Пока для интерфейса не указана следующая строка, трафик идет:
>>>ip access-group 110 in,
>>>как только эту строчку прописываешь, трафик пропадает.
>>>
>>>Как выглядит access-list 110:
>>>......... SKIP ....................
>>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>>применении приведенных access-листов?
>>>Просьба сильно не пинать начинающего
>>
>>ВОПРОС: А какой траффик пропадает?! :)))
>Пропадает http трафик. Пинг проходит.
Какой HTTP траффик пропадает?! (На какой хост? )
Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248 (201,202,203,204,205,206,207) ...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "настройка acl"

Сообщение от Алексей (??) on 08-Апр-05, 20:19  (MSK)

>>>>Здраствуйте все.
>>>>Ситуация.
>>>>
>>>>Пока для интерфейса не указана следующая строка, трафик идет:
>>>>ip access-group 110 in,
>>>>как только эту строчку прописываешь, трафик пропадает.
>>>>
>>>>Как выглядит access-list 110:
>>>>......... SKIP ....................
>>>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>>>>применении приведенных access-листов?
>>>>Просьба сильно не пинать начинающего
>>>
>>>ВОПРОС: А какой траффик пропадает?! :)))
>>Пропадает http трафик. Пинг проходит.
>
>Какой HTTP траффик пропадает?! (На какой хост? )
>
>Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248
>(201,202,203,204,205,206,207) ...
Да при применении этих access-листов в эту сеть доступ есть, эта сеть DMZ, один из этих ip адресов имеет ISA, который стоит на границе в LAN.
Т.е., я немного не договорил, http трафик пропадает на компах в LANe.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "настройка acl"

Сообщение от Shod on 08-Апр-05, 07:48  (MSK)

>access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log
>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при
>применении приведенных access-листов?
>Просьба сильно не пинать начинающего.
листы прописаны неправильно
ты этими листами разрешаешь клиентские обращения снаружи к своим серверным ресурсам :)
надо
access-list 110 permit tcp any eq www 62.89.247.200 0.0.0.7 log
если ты хочешь чтоб снаружи чтото от ВВВ приходило

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настройка acl"
Сообщение от roger (??) on 07-Апр-05, 17:02 (MSK)
>Здраствуйте все. >Ситуация. > >Пока для интерфейса не указана следующая строка, трафик идет: >ip access-group 110 in, >как только эту строчку прописываешь, трафик пропадает. > >Как выглядит access-list 110: >......... SKIP .................... >и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при >применении приведенных access-листов? >Просьба сильно не пинать начинающего ВОПРОС: А какой траффик пропадает?! :)))
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "настройка acl"
	Сообщение от Алексей (??) on 07-Апр-05, 17:25 (MSK)
	>>Здраствуйте все. >>Ситуация. >> >>Пока для интерфейса не указана следующая строка, трафик идет: >>ip access-group 110 in, >>как только эту строчку прописываешь, трафик пропадает. >> >>Как выглядит access-list 110: >>......... SKIP .................... >>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при >>применении приведенных access-листов? >>Просьба сильно не пинать начинающего > >ВОПРОС: А какой траффик пропадает?! :))) Пропадает http трафик. Пинг проходит.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "настройка acl"
	Сообщение от sh_ (??) on 07-Апр-05, 22:51 (MSK)
	Пропадает ТОЛЬКО http траффик? Конфиг покажите, если не сложно...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "настройка acl"
	Сообщение от Алексей (??) on 08-Апр-05, 20:13 (MSK)
	>Пропадает ТОЛЬКО http траффик? >Конфиг покажите, если не сложно... Вот мой конфиг: rcde-ivanovo-gw#sh running-config Building configuration... Current configuration : 3042 bytes version 12.2 service timestamps debug uptime service timestamps log uptime service password-encryption hostname rcde-ivanovo-gw logging queue-limit 100 logging buffered 4096 debugging clock timezone MSK 3 ip subnet-zero ip audit notify log ip audit po max-events 100 ! call rsvp-sync interface FastEthernet0/0 ip address 192.168.100.51 255.255.255.224 speed 10 half-duplex ! interface FastEthernet0/1 ip address 63.85.247.201 255.255.255.248 ip access-group 120 in duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.100.33 no ip http server ! access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 443 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 17988 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq domain log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 1433 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 1434 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq pop3 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq nntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 143 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq smtp log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq 25 log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 range ftp-data telnet log access-list 110 permit udp any 62.89.247.200 0.0.0.7 range 22 23 log access-list 110 permit udp any 62.89.247.200 0.0.0.7 eq ntp log access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq 3389 log access-list 110 permit icmp any any net-unreachable access-list 110 permit icmp any any host-unreachable access-list 110 permit icmp any any port-unreachable access-list 110 permit icmp any any parameter-problem access-list 110 permit icmp any any packet-too-big access-list 110 permit icmp any any administratively-prohibited access-list 110 permit icmp any any source-quench access-list 110 permit icmp any any echo-reply log access-list 110 permit icmp any any ttl-exceeded access-list 110 deny icmp any any access-list 120 permit ip any any access-list 120 permit icmp any any net-unreachable access-list 120 permit icmp any any host-unreachable access-list 120 permit icmp any any port-unreachable access-list 120 permit icmp any any parameter-problem access-list 120 permit icmp any any packet-too-big access-list 120 permit icmp any any administratively-prohibited access-list 120 permit icmp any any source-quench access-list 120 permit icmp any any echo-reply log access-list 120 permit icmp any any ttl-exceeded access-list 120 deny icmp any any snmp-server community public1 RO snmp-server enable traps tty ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 login ! end
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "настройка acl"
	Сообщение от roger (??) on 08-Апр-05, 21:29 (MSK)
	>>Пропадает ТОЛЬКО http траффик? >>Конфиг покажите, если не сложно... > >Вот мой конфиг: >rcde-ivanovo-gw#sh running-config >Building configuration... > >interface FastEthernet0/1 > ip address 63.85.247.201 255.255.255.248 > ip access-group 120 in > duplex auto > speed auto Наверное вы имелли ввиду ip access-group 120 out .... Потому что в ином случае всё написано с точностью наоборот .... Данный акксесс лист пропускает всех кто пришёл через интерфейс Fa0/1 на айпишники 63.85.247.20x .... Тоесть совсем наборот ....
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "настройка acl"
	Сообщение от roger (??) on 08-Апр-05, 20:10 (MSK)
	>>>Здраствуйте все. >>>Ситуация. >>> >>>Пока для интерфейса не указана следующая строка, трафик идет: >>>ip access-group 110 in, >>>как только эту строчку прописываешь, трафик пропадает. >>> >>>Как выглядит access-list 110: >>>......... SKIP .................... >>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при >>>применении приведенных access-листов? >>>Просьба сильно не пинать начинающего >> >>ВОПРОС: А какой траффик пропадает?! :))) >Пропадает http трафик. Пинг проходит. Какой HTTP траффик пропадает?! (На какой хост? ) Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248 (201,202,203,204,205,206,207) ...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "настройка acl"
	Сообщение от Алексей (??) on 08-Апр-05, 20:19 (MSK)
	>>>>Здраствуйте все. >>>>Ситуация. >>>> >>>>Пока для интерфейса не указана следующая строка, трафик идет: >>>>ip access-group 110 in, >>>>как только эту строчку прописываешь, трафик пропадает. >>>> >>>>Как выглядит access-list 110: >>>>......... SKIP .................... >>>>и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при >>>>применении приведенных access-листов? >>>>Просьба сильно не пинать начинающего >>> >>>ВОПРОС: А какой траффик пропадает?! :))) >>Пропадает http трафик. Пинг проходит. > >Какой HTTP траффик пропадает?! (На какой хост? ) > >Исходя из данного акксес листа вы можете ходить на хосты: 62.89.247.200 255.255.255.248 >(201,202,203,204,205,206,207) ... Да при применении этих access-листов в эту сеть доступ есть, эта сеть DMZ, один из этих ip адресов имеет ISA, который стоит на границе в LAN. Т.е., я немного не договорил, http трафик пропадает на компах в LANe.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "настройка acl"
Сообщение от Shod on 08-Апр-05, 07:48 (MSK)
>access-list 110 permit tcp any 62.89.247.200 0.0.0.7 eq www log >и вопрос: листы прописаны правильно, в чем же причина пропадания трафика при >применении приведенных access-листов? >Просьба сильно не пинать начинающего. листы прописаны неправильно ты этими листами разрешаешь клиентские обращения снаружи к своим серверным ресурсам :) надо access-list 110 permit tcp any eq www 62.89.247.200 0.0.0.7 log если ты хочешь чтоб снаружи чтото от ВВВ приходило
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх