forum.opennet.ru - "Резать соединения на 80й порт" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Резать соединения на 80й порт"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Резать соединения на 80й порт"
Сообщение от Darth_Vader (ok) on 22-Сен-05, 06:48
Добрый день! Помогите начинающему, начал разбираться с cisco - возникают вопросы... Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть. Хочу резать соединения на 80й порт во внешнюю сеть Делаю так: interface GigabitEthernet1/0/23 ip access-group 110 in access-list 110 permit icmp any any access-list 110 deny tcp any any eq www access-list 110 permit ip any any Соединения не режутся. Почему? Как надо правильно сделать?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Резать соединения на 80й порт, kaa, 07:23 , 22-Сен-05, (1)

Резать соединения на 80й порт, Darth_Vader, 07:57 , 22-Сен-05, (2)

Резать соединения на 80й порт, kaa, 08:02 , 22-Сен-05, (3)

Резать соединения на 80й порт, Darth_Vader, 08:04 , 22-Сен-05, (4)

Резать соединения на 80й порт, kaa, 08:22 , 22-Сен-05, (5)

Резать соединения на 80й порт, John Smith, 10:34 , 22-Сен-05, (6)

Резать соединения на 80й порт, Darth_Vader, 13:51 , 22-Сен-05, (10)
Резать соединения на 80й порт, John Smith, 14:48 , 22-Сен-05, (11)

Резать соединения на 80й порт, fantom, 12:13 , 22-Сен-05, (7)

Резать соединения на 80й порт, John Smith, 12:18 , 22-Сен-05, (8)
Резать соединения на 80й порт, Darth_Vader, 13:49 , 22-Сен-05, (9)

Резать соединения на 80й порт, John Smith, 14:53 , 22-Сен-05, (12)
Резать соединения на 80й порт, Almas, 16:05 , 12-Июл-07, (13)

Сообщения по теме [Сортировка по времени, UBB]

1. "Резать соединения на 80й порт"

Сообщение от kaa (??) on 22-Сен-05, 07:23

>Добрый день!
>Помогите начинающему, начал разбираться с cisco - возникают вопросы...
>Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть.
>Хочу резать соединения на 80й порт во внешнюю сеть
>Делаю так:
>
>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny   tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?
А почему вы на интерфейс лист вешаете???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Резать соединения на 80й порт"

Сообщение от Darth_Vader (ok) on 22-Сен-05, 07:57

>А почему вы на интерфейс лист вешаете???
Сорри, а как надо?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Резать соединения на 80й порт"

Сообщение от kaa (??) on 22-Сен-05, 08:02

>>А почему вы на интерфейс лист вешаете???
>
>Сорри, а как надо?
Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Резать соединения на 80й порт"

Сообщение от Darth_Vader (ok) on 22-Сен-05, 08:04

>>Сорри, а как надо?
>Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
Т.е. как сделал я работать не должно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Резать соединения на 80й порт"

Сообщение от kaa (??) on 22-Сен-05, 08:22

>>>Сорри, а как надо?
>>Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
>Т.е. как сделал я работать не должно?
Я хотел просто побыстрее и попроще(?) объяснить, но лучше вам просто
всё прочитать и понять какой вариант вам нужен.
тут:
http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_guide_chapter09186a00801f6145.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Резать соединения на 80й порт"

Сообщение от John Smith on 22-Сен-05, 10:34

>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny   tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?
У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Резать соединения на 80й порт"

Сообщение от Darth_Vader (ok) on 22-Сен-05, 13:51

>У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024.
Спасибо. Теперь всё понял.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Резать соединения на 80й порт"

Сообщение от John Smith on 22-Сен-05, 14:48

Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе.
access-list 110 permit icmp any any
access-list 110 deny   tcp any eq www any gt 1024
access-list 110 permit ip any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Резать соединения на 80й порт"

Сообщение от fantom (??) on 22-Сен-05, 12:13

>Добрый день!
>Помогите начинающему, начал разбираться с cisco - возникают вопросы...
>Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть.
>Хочу резать соединения на 80й порт во внешнюю сеть
>Делаю так:
>
>interface GigabitEthernet1/0/23
> ip access-group 110 in
>
>access-list 110 permit icmp any any
>access-list 110 deny   tcp any any eq www
>access-list 110 permit ip any any
>
>Соединения не режутся. Почему? Как надо правильно сделать?
Повесь этот acl не на in а на out

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Резать соединения на 80й порт"

Сообщение от John Smith on 22-Сен-05, 12:18

>Повесь этот acl не на in а на out
Верный совет. Хотя я бы и аксесс-лист переписал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Резать соединения на 80й порт"

Сообщение от Darth_Vader (ok) on 22-Сен-05, 13:49

>>Соединения не режутся. Почему? Как надо правильно сделать?
>
>Повесь этот acl не на in а на out
Port ACLs access-control traffic entering a Layer 2 interface. The switch does not support port ACLs in the outbound direction. You can apply only one IP access list and one MAC access list to a Layer 2 interface.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Резать соединения на 80й порт"

Сообщение от John Smith on 22-Сен-05, 14:53

Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе.
access-list 110 permit icmp any any
access-list 110 deny   tcp any eq www any gt 1024
access-list 110 permit ip any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Резать соединения на 80й порт"

Сообщение от Almas (??) on 12-Июл-07, 16:05

Здравствуйте
У меня была точно такая ситуация
потом повесил
interface Vlan3
ip address 172.21.148.181 255.255.255.0
ip access-group 110 out
ip route-cache flow
и все заработало а на IN не работало
почему не работало на IN?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Резать соединения на 80й порт"
Сообщение от kaa (??) on 22-Сен-05, 07:23
>Добрый день! >Помогите начинающему, начал разбираться с cisco - возникают вопросы... >Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть. >Хочу резать соединения на 80й порт во внешнюю сеть >Делаю так: > >interface GigabitEthernet1/0/23 > ip access-group 110 in > >access-list 110 permit icmp any any >access-list 110 deny tcp any any eq www >access-list 110 permit ip any any > >Соединения не режутся. Почему? Как надо правильно сделать? А почему вы на интерфейс лист вешаете???
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Резать соединения на 80й порт"
	Сообщение от Darth_Vader (ok) on 22-Сен-05, 07:57
	>А почему вы на интерфейс лист вешаете??? Сорри, а как надо?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Резать соединения на 80й порт"
	Сообщение от kaa (??) on 22-Сен-05, 08:02
	>>А почему вы на интерфейс лист вешаете??? > >Сорри, а как надо? Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Резать соединения на 80й порт"
	Сообщение от Darth_Vader (ok) on 22-Сен-05, 08:04
	>>Сорри, а как надо? >Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl Т.е. как сделал я работать не должно?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Резать соединения на 80й порт"
	Сообщение от kaa (??) on 22-Сен-05, 08:22
	>>>Сорри, а как надо? >>Ну вообще-то елементарно закиньте порт в vlan, а на него вешайте acl/vacl >Т.е. как сделал я работать не должно? Я хотел просто побыстрее и попроще(?) объяснить, но лучше вам просто всё прочитать и понять какой вариант вам нужен. тут: http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_guide_chapter09186a00801f6145.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Резать соединения на 80й порт"
Сообщение от John Smith on 22-Сен-05, 10:34
>interface GigabitEthernet1/0/23 > ip access-group 110 in > >access-list 110 permit icmp any any >access-list 110 deny tcp any any eq www >access-list 110 permit ip any any > >Соединения не режутся. Почему? Как надо правильно сделать? У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Резать соединения на 80й порт"
	Сообщение от Darth_Vader (ok) on 22-Сен-05, 13:51
	>У вас некорректный аксесс-лист. Вы вешаете его как входящую политику, а в аксесс-листе у вас явно написано - deny tcp any any eq www, то есть вы блокируете все tcp пакеты с портом назначения равным 80, идущие в вашу сеть. Трафик же со стороны любого www-сервера идет от порта-источника 80 к порту-получателю >1024. Спасибо. Теперь всё понял.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Резать соединения на 80й порт"
	Сообщение от John Smith on 22-Сен-05, 14:48
	Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе. access-list 110 permit icmp any any access-list 110 deny tcp any eq www any gt 1024 access-list 110 permit ip any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Резать соединения на 80й порт"
Сообщение от fantom (??) on 22-Сен-05, 12:13
>Добрый день! >Помогите начинающему, начал разбираться с cisco - возникают вопросы... >Есть cisco 3750, у которой GigabitEthernet1/0/23 смотрит во внешнюю сеть. >Хочу резать соединения на 80й порт во внешнюю сеть >Делаю так: > >interface GigabitEthernet1/0/23 > ip access-group 110 in > >access-list 110 permit icmp any any >access-list 110 deny tcp any any eq www >access-list 110 permit ip any any > >Соединения не режутся. Почему? Как надо правильно сделать? Повесь этот acl не на in а на out
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Резать соединения на 80й порт"
	Сообщение от John Smith on 22-Сен-05, 12:18
	>Повесь этот acl не на in а на out Верный совет. Хотя я бы и аксесс-лист переписал.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Резать соединения на 80й порт"
	Сообщение от Darth_Vader (ok) on 22-Сен-05, 13:49
	>>Соединения не режутся. Почему? Как надо правильно сделать? > >Повесь этот acl не на in а на out Port ACLs access-control traffic entering a Layer 2 interface. The switch does not support port ACLs in the outbound direction. You can apply only one IP access list and one MAC access list to a Layer 2 interface.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Резать соединения на 80й порт"
	Сообщение от John Smith on 22-Сен-05, 14:53
	Ну раз в 3750 такие ограничения есть, то перепишем аксесс-лист, что бы его можно было использовать на входе. access-list 110 permit icmp any any access-list 110 deny tcp any eq www any gt 1024 access-list 110 permit ip any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Резать соединения на 80й порт"
	Сообщение от Almas (??) on 12-Июл-07, 16:05
	Здравствуйте У меня была точно такая ситуация потом повесил interface Vlan3 ip address 172.21.148.181 255.255.255.0 ip access-group 110 out ip route-cache flow и все заработало а на IN не работало почему не работало на IN?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]