URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10350
[ Назад ]

Исходное сообщение
"ACL на 2611"
Отправлено del_mo , 18-Апр-06 18:31

Всем доброго времени суток!
Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса типа:
interface FastEthernet0/1
ip address 100.100.100.99 255.255.255.252 secondary
etc
etc
ip address 100.100.100.95 255.255.255.252
Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его к 1-му интерфейсу. Сейчас у меня вот такой acl, но он не пашет, почему - не знаю.
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
90 deny tcp 100.100.100.98 0.0.0.3 any
100 deny tcp any 100.100.100.98 0.0.0.3
В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997. Все остальное закрыть. Кто что посоветует, буду благодарен.
Всем заранее сэнки...
ЗЫ. Айпишники, как вы поняли, взяты с потолка )))

Содержание

ACL на 2611,fantom, 18:51 , 18-Апр-06
- ACL на 2611,vorch, 16:48 , 19-Апр-06

Сообщения в этом обсуждении

"ACL на 2611"
Отправлено fantom , 18-Апр-06 18:51

>Всем доброго времени суток!
>Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через
>F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса
>типа:
>interface FastEthernet0/1
>ip address 100.100.100.99 255.255.255.252 secondary
>etc
>etc
>ip address 100.100.100.95 255.255.255.252
>
>Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали
>только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его
>к 1-му интерфейсу. Сейчас у меня вот такой acl, но он
>не пашет, почему - не знаю.
>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
>30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
>40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
>50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
>60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
>70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
>80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
>90 deny tcp 100.100.100.98 0.0.0.3 any
>100 deny tcp any 100.100.100.98 0.0.0.3
>В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997.
>Все остальное закрыть. Кто что посоветует, буду благодарен.
>Всем заранее сэнки...
>ЗЫ. Айпишники, как вы поняли, взяты с потолка )))

И небудет пахать :)
может конфиг покажешь, как ACL записан и куда повешен?
и еще, если все это в одном ACL, то неправильно
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
а надо
10 permit tcp any eq smtp 100.100.100.98 0.0.0.3
ну и далее по тексту....

"ACL на 2611"
Отправлено vorch , 19-Апр-06 16:48

>>Всем доброго времени суток!
>>Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через
>>F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса
>>типа:
>>interface FastEthernet0/1
>>ip address 100.100.100.99 255.255.255.252 secondary
>>etc
>>etc
>>ip address 100.100.100.95 255.255.255.252
>>
>>Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали
>>только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его
>>к 1-му интерфейсу. Сейчас у меня вот такой acl, но он
>>не пашет, почему - не знаю.
>>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>>20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
>>30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
>>40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
>>50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
>>60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
>>70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
>>80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
>>90 deny tcp 100.100.100.98 0.0.0.3 any
>>100 deny tcp any 100.100.100.98 0.0.0.3
>>В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997.
>>Все остальное закрыть. Кто что посоветует, буду благодарен.
>>Всем заранее сэнки...
>>ЗЫ. Айпишники, как вы поняли, взяты с потолка )))
>
>
>И небудет пахать :)
>может конфиг покажешь, как ACL записан и куда повешен?
>
>и еще, если все это в одном ACL, то неправильно
>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>
>а надо
>10 permit tcp any eq smtp 100.100.100.98 0.0.0.3
>
>ну и далее по тексту....
Порядок то как раз правильный, в extended ACL порт (диапазон) указывается в конце.
Судя по всему все правила записаны в один ACL, тогда неверно писать зеркальные правила
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
поскольку ACL вешается на интерфейс с указанием направления in/out. Т.е. в любом случае половина правил смысла иметь не будет