URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7549
[ Назад ]

Исходное сообщение
"Как написать acces-list"
Отправлено lion , 23-Мрт-05 11:36

Есть Cisco 1600
int e0
ip address 10.1.1.1 255.255.255.0
int e1
ip address 10.10.10.1 255.255.255.0
Надо запретить пользователям подключенным к E0 доступ (включая ping, telnet) к пользователям подключенным к e1.
Надо сделать так
чтобы ping не проходил от пользователей 10.1.1.0/24 к ip cisco 10.10.10.1 а также к самим пользователям 10.10.10.0/24
помогите, пожалуйста, написать access-list.
Заранее благодарен, Александр

Содержание

Как написать acces-list,Beginner, 12:55 , 23-Мрт-05
- Как написать acces-list,lion, 13:01 , 23-Мрт-05
  - Как написать acces-list,onorua, 15:11 , 23-Мрт-05
    - Как написать acces-list,lion, 15:58 , 23-Мрт-05

Сообщения в этом обсуждении

"Как написать acces-list"
Отправлено Beginner , 23-Мрт-05 12:55

>Есть Cisco 1600
>int e0
>  ip address 10.1.1.1 255.255.255.0
>int e1
>  ip address 10.10.10.1 255.255.255.0
>
>Надо запретить пользователям подключенным к E0 доступ (включая ping, telnet) к пользователям
>подключенным к e1.
>Надо сделать так
>чтобы ping не проходил от пользователей 10.1.1.0/24 к ip cisco 10.10.10.1 а
>также к самим пользователям 10.10.10.0/24
>помогите, пожалуйста, написать access-list.
>Заранее благодарен, Александр

ip access-list 101 deny ip any 10.10.10.0 0.0.0.255
ip access-list 101 permit ip any any
int e0
   ip access-group 101 out

"Как написать acces-list"
Отправлено lion , 23-Мрт-05 13:01

>ip access-list 101 deny ip any 10.10.10.0 0.0.0.255
>ip access-list 101 permit ip any any
>int e0
> ip access-group 101 out

Спасибо...да, действительно пользователи из int e0 Не пингуют пользователей к int e1. Обратное пингуется.
Но мне еще надо чтобы пользователи от int e0 не видели сам интерфейс INT E1. А сейчас он остается видимым и доступным для пингования и telnet.
Как это сделать??

"Как написать acces-list"
Отправлено onorua , 23-Мрт-05 15:11

>>ip access-list 101 deny ip any 10.10.10.0 0.0.0.255
>>ip access-list 101 permit ip any any
>>int e0
>> ip access-group 101 out
>
>
>Спасибо...да, действительно пользователи из int e0 Не пингуют пользователей к int e1.
>Обратное пингуется.
>Но мне еще надо чтобы пользователи от int e0 не видели сам
>интерфейс INT E1. А сейчас он остается видимым и доступным для
>пингования и telnet.
>Как это сделать??
Можнор сделать:
ip access-list 102 deny ip 10.1.1.0 0.0.0.255 any
ip access-list 102 permit ip any any
int e1
ip access-group 102 in
но тогда ты не сможешь получать ответы из сети 10.1.1.0 вообще
Хотя пакеты туда будут идти...

"Как написать acces-list"
Отправлено lion , 23-Мрт-05 15:58

Да, все заработало. access-list IN Надо было ставить точно на интерфейсе E0. Спасибо.