OpenForum RSS: Cisco ACL https://www.opennet.me/openforum/vsluhforumID6/20039.html Доброго времени суток.<br><br>Есть cisco 1841:<br><br>IOS ver: 12.4<br>fa0/0: external<br>fa0/1: internal<br><br>Конфиг<br><br><br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname host1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 ciphered.<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>mmi polling-interval 60<br>no mmi auto-configure<br>no mmi pvc<br>mmi snmp-timeout 180<br>ip subnet-zero<br>ip cef<br>!<br>!<br>!<br>!<br>ip domain name yourdomain.com<br>!<br>!<br>!<br>crypto pki trustpoint TP-self-signed-2576597825<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-2576597825<br> revocation-check none<br> rsakeypair TP-self-signed-2576597825<br>!<br>!<br>username netbox privilege 15 secret 5 ciphered.<br>!<br>! <br>!<br>!<br>!<br>interface FastEthernet0/0<br> description External_Interface<br> ip address x.x.195.162 255.255.255.248<br> ip access-group 101 in<br> ip nat outside<br> no ip proxy-arp<br> ip virtual-reassembly<br> no cdp enable<br> duplex auto<br> speed auto<br>!<br>int Cisco ACL (Dr.Bier) https://www.opennet.me/openforum/vsluhforumID6/20039.html#1 Mon, 16 Nov 2009 21:31:16 GMT Блокирование какого трафика происходит? Того, что инициирован изнутри наружу? Ну так это правильно :) Добавьте перед access-list 101 deny ip any any строчку access-list 101 permit ip any x.x.195.162 (остальные прибейте), иначе циска дропает пакеты, которые являются ответами на пакеты, исходящие из внутренней сети. Либо используйте ip inspect для автоматического разрешения прохождения ответов на пакеты из вашей сети. Либо, опять-же, вставьте строчку вида access-list 101 permit tcp any x.x.195.162 established, если вам только tcp-траффик нужен.<br><br>Относительно закрытия ssh. Обычно на уровне vty закрывают, если ваша политика предполагает проброс ssh на внутренние адреса (чтобы не плодить две строчки в acl).<br><br>P.S. Хорошо в таких случаях последнюю строчку делать вида access-list 101 deny ip any any log - всё будет хорошо видно, почему не работает.<br><br>