URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21826
[ Назад ]

Исходное сообщение
"access-list проблемы"
Отправлено klin , 27-Окт-10 10:23

Добрый день
Есть cisco 2811 хочу ограничить трафик из LAN в Инет

interface FastEthernet0/0
description ISP
ip address ISP_IP 255.255.255.252
ip access-group DENY in
ip access-group DENY-out out
ip nat outside
ip inspect FW out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable

sh access-lists DENY-out
Extended IP access list DENY-out
    10 permit ip host 10.35.18.11 host 213.180.204.3
    11 permit ip host 10.35.18.11 host 74.125.87.99
    20 deny ip host 10.35.18.11 any
       ....
    90 permit ip any any

Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем проблема может быть ?

Содержание

access-list проблемы,GolDi, 12:34 , 27-Окт-10
- access-list проблемы,klin, 13:07 , 27-Окт-10
  - access-list проблемы,GolDi, 14:12 , 27-Окт-10
    - access-list проблемы,klin, 15:47 , 27-Окт-10
      - access-list проблемы,Merridius, 00:12 , 11-Ноя-10

Сообщения в этом обсуждении

"access-list проблемы"
Отправлено GolDi , 27-Окт-10 12:34

>[оверквотинг удален]
>  no cdp enable
> sh access-lists DENY-out
> Extended IP access list DENY-out
>     10 permit ip host 10.35.18.11 host 213.180.204.3
>     11 permit ip host 10.35.18.11 host 74.125.87.99
>     20 deny ip host 10.35.18.11 any
>        ....
>     90 permit ip any any
> Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем
> проблема может быть ?
  Сначала NAT потом уже access-list
http://www.ciscosystems.com/en/US/tech/tk648/tk361/technolog...
Делать надо на входящем interface из локалки

"access-list проблемы"
Отправлено klin , 27-Окт-10 13:07

>[оверквотинг удален]
>>     10 permit ip host 10.35.18.11 host 213.180.204.3
>>     11 permit ip host 10.35.18.11 host 74.125.87.99
>>     20 deny ip host 10.35.18.11 any
>>        ....
>>     90 permit ip any any
>> Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем
>> проблема может быть ?
>   Сначала NAT потом уже access-list
> http://www.ciscosystems.com/en/US/tech/tk648/tk361/technolog...
>  Делать надо на входящем interface из локалки
Спасибо разобрался, разрешил в настройках NAT-a только определенные адреса, непосредственно с этого компа 10.35.18.11 вижу только разрешенные хосты, но
sh ip nat translations | in 10.35.18.11
tcp  ISP_IP:4      10.35.18.11:139        5.48.135.236:1123     5.48.135.236:1123
tcp  ISP_IP:5      10.35.18.11:139        5.48.135.236:1135     5.48.135.236:1135
tcp  ISP_IP:6      10.35.18.11:139        5.48.135.236:1192     5.48.135.236:1192
tcp  ISP_IP:10     10.35.18.11:139        5.48.135.236:1304     5.48.135.236:1304
tcp  ISP_IP:12     10.35.18.11:139       192.168.1.11:2263     192.168.1.11:2263
tcp  ISP_IP:14     10.35.18.11:139       192.168.1.11:2474     192.168.1.11:2474
tcp  ISP_IP:15     10.35.18.11:139       192.168.1.11:3005     192.168.1.11:3005
tcp  ISP_IP:16     10.35.18.11:139       192.168.1.11:3106     192.168.1.11:3106
tcp  ISP_IP:1      10.35.18.11:139       192.168.1.11:4073     192.168.1.11:4073
tcp  ISP_IP:2      10.35.18.11:139       192.168.1.11:4171     192.168.1.11:4171
tcp  ISP_IP:8      10.35.18.11:139       192.168.1.11:4365     192.168.1.11:4365
Как так? При чем как Вы видите часть адресов серые ..

"access-list проблемы"
Отправлено GolDi , 27-Окт-10 14:12

>[оверквотинг удален]
>   192.168.1.11:3005     192.168.1.11:3005
> tcp  ISP_IP:16     10.35.18.11:139
>   192.168.1.11:3106     192.168.1.11:3106
> tcp  ISP_IP:1      10.35.18.11:139
>    192.168.1.11:4073     192.168.1.11:4073
> tcp  ISP_IP:2      10.35.18.11:139
>    192.168.1.11:4171     192.168.1.11:4171
> tcp  ISP_IP:8      10.35.18.11:139
>    192.168.1.11:4365     192.168.1.11:4365
> Как так? При чем как Вы видите часть адресов серые ..
Так покажите настройки NAT

"access-list проблемы"
Отправлено klin , 27-Окт-10 15:47

>[оверквотинг удален]
>> tcp  ISP_IP:16     10.35.18.11:139
>>   192.168.1.11:3106     192.168.1.11:3106
>> tcp  ISP_IP:1      10.35.18.11:139
>>    192.168.1.11:4073     192.168.1.11:4073
>> tcp  ISP_IP:2      10.35.18.11:139
>>    192.168.1.11:4171     192.168.1.11:4171
>> tcp  ISP_IP:8      10.35.18.11:139
>>    192.168.1.11:4365     192.168.1.11:4365
>> Как так? При чем как Вы видите часть адресов серые ..
>  Так покажите настройки NAT
ip access-list extended NAT
permit ip host 10.35.18.11 host 213.180.204.3
permit ip host 10.35.18.11 host 74.125.87.99
route-map NAT permit10
match ip address NAT
match interface FastEthernet0/0

ip nat inside source route-map NAT interface FastEthernet0/0 overload

"access-list проблемы"
Отправлено Merridius , 11-Ноя-10 00:12

>[оверквотинг удален]
>>> 192.168.1.11:4365 192.168.1.11:4365
>>> Как так? При чем как Вы видите часть адресов серые ..
>> Так покажите настройки NAT
> ip access-list extended NAT
> permit ip host 10.35.18.11 host 213.180.204.3
> permit ip host 10.35.18.11 host 74.125.87.99
> route-map NAT permit10
> match ip address NAT
> match interface FastEthernet0/0
> ip nat inside source route-map NAT interface FastEthernet0/0 overload
Зачем тебе с роутмапом городить конструкцию, да еще match interface FastEthernet0/0 зачем то в него засунул.
Через ACL определи кого натить, его (ACL) и вставляй в нат.