URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11419
[ Назад ]
Исходное сообщение
"момогите с ACL плииз"
Отправлено user , 04-Сен-06 11:34 
10.201.208.50 это ip компа которому разрешено
почему когда в ACL ставлю строчку  
access-list 110 permit udp any eq 53 host 10.201.208.50
даже вот так делал
access-list 110 permit udp any eq 53 host 10.201.208.50
access-list 110 permit udp host 10.201.208.50 eq 53 any
пишет только denied udp 10.201.208.50
но когда ставлю access-list 110 permit udp any eq 53 any все начинает работать  
10.201.208.50 это ip компа которому разрешено все
подскажите плиииииз в чем лажаю!
часть конфа
access-list 110 permit tcp host 10.201.208.50 any eq www
access-list 110 permit tcp host 10.201.208.50 any eq smtp
access-list 110 permit tcp host 10.201.208.50 any eq pop3
access-list 110 permit udp any eq 53 host 10.201.208.50
access-list 110 permit icmp any host 10.201.208.50
access-list 110 deny   udp any any log
access-list 110 deny   tcp any any log
access-list 110 deny   ip any any log
Содержание
Сообщения в этом обсуждении
"момогите с ACL плииз"
Отправлено sh_ , 04-Сен-06 11:41 
Чего хочешь то? Показывай не только ACL, но и конфигурацию интерфейса, к которому его применяешь...
"момогите с ACL плииз"
Отправлено user , 04-Сен-06 11:46 
вот так
interface GigabitEthernet0/0
ip address 192.168.5.230 255.255.255.0
ip access-group 110 in
ip access-group 120 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.201.208.40 255.255.240.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 192.168.5.1
!
access-list 1 permit 10.201.208.50
access-list 110 permit tcp any any established
access-list 110 permit tcp host 10.201.208.50 any eq www
access-list 110 permit tcp host 10.201.208.50 any eq smtp
access-list 110 permit tcp host 10.201.208.50 any eq pop3
access-list 110 permit udp any eq domain any
access-list 110 deny   udp any any log
access-list 110 deny   tcp any any log
access-list 110 deny   ip any any log
access-list 120 deny   ip any 192.168.0.0 0.0.255.255 log
access-list 120 deny   ip any 172.16.0.0 0.15.255.255 log
access-list 120 deny   ip any 10.0.0.0 0.255.255.255 log
access-list 120 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 120 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 120 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 120 permit ip host 192.168.5.230 any log
access-list 120 deny   tcp any any log
access-list 120 deny   udp any any log
access-list 120 deny   ip any any log

"момогите с ACL плииз"
Отправлено sh_ , 04-Сен-06 12:39 
Что же вы не хотите написать, что вам нужно... Как тут догадаться...
1) 110 acl: Хост 10.201.208.50 находится за интерфейсом gi0/1 и на интерфейс gi0/0 в направлении in он никак не попадет.
2) Аналогично 120 acl.
Либо acl применены не к тому интерфейсу, либо не в том направлении...
"момогите с ACL плииз"
Отправлено Саша , 04-Сен-06 12:17 
>10.201.208.50 это ip компа которому разрешено
>почему когда в ACL ставлю строчку
>access-list 110 permit udp any eq 53 host 10.201.208.50
>даже вот так делал
>access-list 110 permit udp any eq 53 host 10.201.208.50
>access-list 110 permit udp host 10.201.208.50 eq 53 any
>пишет только denied udp 10.201.208.50
>но когда ставлю access-list 110 permit udp any eq 53 any все
>начинает работать
>10.201.208.50 это ip компа которому разрешено все
>подскажите плиииииз в чем лажаю!
>часть конфа
>access-list 110 permit tcp host 10.201.208.50 any eq www
>access-list 110 permit tcp host 10.201.208.50 any eq smtp
>access-list 110 permit tcp host 10.201.208.50 any eq pop3
>access-list 110 permit udp any eq 53 host 10.201.208.50
>access-list 110 permit icmp any host 10.201.208.50
>access-list 110 deny   udp any any log
>access-list 110 deny   tcp any any log
>access-list 110 deny   ip any any log
http://bog.pp.ru/work/ios_acl.html