- Access Control List, reader, 18:54 , 05-Янв-16 (1)
- Access Control List, vigogne, 20:46 , 10-Янв-16 (4)
>[оверквотинг удален] > надо чтобы FTP шел в интернет, конфигурирую след.образом: > ip access-list extended for-ftp-server > permit tcp any host 40.0.0.2 eq www > permit tcp any host 40.0.0.2 eq ftp > permit ip host 10.0.0.10 host 40.0.0.2 > ip access-group for-ftp-server out > Все работает как нужно, только ftp все ровно в интернет не идет. > https://cloud.mail.ru/public/EbRm/bFdcfr74U так сеть выглядит! > Помогите пожалуйста разобраться, пробовал сам, но так и не понял как это > нужно реализовать. Заранее благодарен!!! :) Ну давайте разберем Ваш пример: Читаем слева-направо: 1 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 80 порт (www) 2 разрешаем TCP-трафик ОТ ЛЮБОГО хоста на хост 40.0.0.2 НА 21 порт (ftp) 3 разрешаем ЛЮБОЙ IP-трафик C хоста 10.0.0.10 на хост 40.0.0.2 4 запрещаем ВСЕ ОСТАЛЬНЫЕ соединения (последнее правило по-умолчанию deny ip any any) Следовательно, по логике, Вы написали ВХОДЯЩЕЕ правило для внешнего интерфейса (ip access-group for-ftp-server in) Если у Вас внутренняя сеть (10.0.0.0?) "сидит" на другом интерфейсе, то вряд ли этот трафик придет через внешний интерфейс, следовательно, 3 правило тут излишне. Почитайте вот эту статейку http://www.cisco.com/cisco/web/support/RU/9/92/92092_ACLsamp..., там довольно просто описаны ACL для самых распространенных сервисов.
- Access Control List, SHAH, 13:27 , 12-Янв-16 (6)
- Access Control List, vigogne, 20:50 , 12-Янв-16 (7)
>[оверквотинг удален] > Да, это я уже понял, что я в не правильном порядке написал > правила. > Спасибо. Знал о ней давно, но к сожалению в ней ответ на > свой вопрос не нашел. Хотя конечно стоит её еще раз причитать. > Если это возможно, могли бы Вы скинуть сеть с настройками которые Вы > делали? > Буду Вам ОЧЕНЬ БЛАГОДАРЕН!!! > P.S. Не сочтите просьбу скинуть проект с настройками за наглость, просто очень > долго сижу в ACL! > Заранее благодарен!!!Да чем же Вам поможет моя "простынка" правил? У меня же и структура сети совершенно другая, и набор сервисов и решаемые задачи... Так Вы еще больше запутаетесь :) сделайте проще, создайте всего два правила: 1 permit tcp any any established #чтобы пропускать пакеты уже установленных соединений 99 deny ip any any log-input #чтобы увидеть в консоли, какие пакеты отбрасываются вешаете его на внешний интерфейс в направлении in и, пытаясь подключиться к нужным сервисам с внешних хостов, смотрите вывод лога (не забываем про ter mon) Помогу разобрать лог. Вываливаться будет примерно такие строчки: Jan 12 19:47:42.649: %SEC-6-IPACCESSLOGP: list acl-in-brd denied tcp 10.77.12.3(44351) (Port-channel1.170 001f.12c6.907a) -> 10.45.10.3(8080), 2 packets 1. Время и дата события 2. Тип лог-сообщения 3. Название ACL (после слова list) 4. Результат обработки пакета. В данном случае - отброшен (denied) 5. Протокол - tcp 6. Адрес и порт, с которого пришел пакет 7. Интерфейс (имя и его mac-адрес) 8. Адрес и порт хоста, на который был отправлен пакет 9. Количество обработанных пакетов. Теперь, чтобы дать доступ к сервису, висящему на порту 8080 на сервере 10.45.10.3, нужно добавить в ACL правило: 2 permit tcp any host 10.45.10.3 eq 8080 Надеюсь, что помог Вам, тем более, как Вы говорите, давно сидите с ACL, уже должны на лету схватывать ;)
- Access Control List, ShyLion, 07:14 , 11-Янв-16 (5)
|