СвязьПроект

Российский системный интегратор
Текущее время: 22 дек 2024, 14:13

Часовой пояс: UTC




Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: ADDPAC 1100 и ACCESS-LIST
СообщениеДобавлено: 28 фев 2009, 10:52 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
Есть данный девайс
настроен access-list на выход(out)
стоят некие заперты на никие сайты, но это не важно

если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают , а если этой же строке указать определенный АЙ ПИ или подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает

а вот для строки DESTINATION работает ВСЕ и единичный ай пи и группы адресов, проблема тока во внутренних адресах, такое ощущение что она их не "ПОНИМАЕТ" или не "ЗНАЕТ"


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 01 мар 2009, 11:03 
Не в сети

Зарегистрирован: 19 июн 2007, 13:41
Сообщения: 929
На какой интерфейс вы применяете access-list?
Покажите ваш конфиг


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 01 мар 2009, 12:44 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
применял для того и того без толку
есть подохрение что дело в НАТе
перепробовал почти все варнаты в течении 8 часов :D
даже обнулял конфиг, и программировал с нуля

конифг без запретов
31 лист на входящий, он работает

Using 5201 out of 130868 bytes
!
version 8.234
!
hostname AP1100
!
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392
access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3390
access-list 31 deny tcp any host 217.77.49.108 eq 3391
access-list 31 deny tcp any host 217.77.49.108 eq 3392
access-list 31 permit ip any any
!
dhcp-list 1 type server
dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128
!
nat-list 0 pat address 217.77.49.108
nat-list 0 pat static-entry tcp 1720 local
nat-list 0 pat static-entry udp 5060 local
nat-list 0 pat static-entry icmp ping local
nat-list 0 pat static-entry tcp 20 local
nat-list 0 pat static-entry tcp 80 local
nat-list 0 pat static-entry tcp 21 local
nat-list 0 pat static-entry tcp 25 192.168.0.30
nat-list 0 pat static-entry tcp 110 192.168.0.30
nat-list 0 pat static-entry tcp 22000 local
nat-list 0 pat static-entry tcp 22001 local
nat-list 0 pat static-entry tcp 50021 192.168.0.17
nat-list 0 pat static-entry tcp 3390 192.168.0.17
nat-list 0 pat group-static-entry udp 23000 24000 local
nat-list 0 pat group-static-entry udp 16000 17000 local
nat-list 0 pat group-static-entry tcp 14000 14007 local
nat-list 0 pat group-static-entry tcp 10000 10007 local
nat-list 0 pat group-static-entry tcp 18000 18007 local
nat-list 0 pat static-entry tcp 8080 192.168.0.24
nat-list 0 pat static-entry tcp 3389 192.168.0.100
nat-list 0 pat static-entry tcp 3391 192.168.0.30
nat-list 0 pat static-entry tcp 3392 192.168.0.25
nat-list 0 pat static-entry tcp 3000 192.168.0.30
nat-list 0 pat static-entry tcp 23 local
nat-list 0 pat static-entry tcp 4899 192.168.0.21
!
no ip-share enable
ip-share interface net-side ether0.0
ip-share interface local-side ether1.0
!
interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0
!
snmp contact public
snmp name AP1100-FXS8
no snmp trap-authentication
!
no arp reset
!


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 02 мар 2009, 08:37 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
выяснилось что если с строке source вместо ANY нарисовать наш внешний ай пи то запреты, тоже работают
соот. я так понимаю дело в НАТе
всем пользователям присваевается внешний ай пи и вперед , соот. запреты и не работают
а вот как сделать чтоб для отдельных внутренних адресов работали заперты, не догонаю пока (((


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 02 мар 2009, 15:16 
Не в сети

Зарегистрирован: 19 июн 2007, 13:41
Сообщения: 929
если создать отдельный лист c запретами и присвоить его на ethernet 1.0 ?


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 02 мар 2009, 16:10 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
дак я и так создаю отдельный лист просто в этом конфиге его нет,
пробовал на оба интерфейса, не помогае


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 03 мар 2009, 20:20 
Не в сети

Зарегистрирован: 19 июн 2007, 13:41
Сообщения: 929
Покажите тот конфиг который не работает, мне тяжело гадать, что и куда вы присваиваете


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 04 мар 2009, 06:41 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
для примера

Using 5321 out of 130868 bytes
!
version 8.234
!
hostname AP1100
!
access-list 30 deny ip host 192.168.0.21 host any
access-list 30 permit ip any any
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392
access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3390
access-list 31 deny tcp any host 217.77.49.108 eq 3391
access-list 31 deny tcp any host 217.77.49.108 eq 3392
access-list 31 permit ip any any
!
dhcp-list 1 type server
dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128
!
nat-list 0 pat address 217.77.49.108
nat-list 0 pat static-entry tcp 1720 local
nat-list 0 pat static-entry udp 5060 local
nat-list 0 pat static-entry icmp ping local
nat-list 0 pat static-entry tcp 20 local
nat-list 0 pat static-entry tcp 80 local
nat-list 0 pat static-entry tcp 21 local
nat-list 0 pat static-entry tcp 25 192.168.0.30
nat-list 0 pat static-entry tcp 110 192.168.0.30
nat-list 0 pat static-entry tcp 22000 local
nat-list 0 pat static-entry tcp 22001 local
nat-list 0 pat static-entry tcp 50021 192.168.0.17
nat-list 0 pat static-entry tcp 3390 192.168.0.17
nat-list 0 pat group-static-entry udp 23000 24000 local
nat-list 0 pat group-static-entry udp 16000 17000 local
nat-list 0 pat group-static-entry tcp 14000 14007 local
nat-list 0 pat group-static-entry tcp 10000 10007 local
nat-list 0 pat group-static-entry tcp 18000 18007 local
nat-list 0 pat static-entry tcp 8080 192.168.0.24
nat-list 0 pat static-entry tcp 3389 192.168.0.100
nat-list 0 pat static-entry tcp 3391 192.168.0.30
nat-list 0 pat static-entry tcp 3392 192.168.0.25
nat-list 0 pat static-entry tcp 3000 192.168.0.30
nat-list 0 pat static-entry tcp 23 local
nat-list 0 pat static-entry tcp 4899 192.168.0.21
!
no ip-share enable
ip-share interface net-side ether0.0
ip-share interface local-side ether1.0
!
interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
ip access-group 30 out
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0


192,168,0,21 ходит куда хочет
вешал на оба интерфейса и и ин и аут


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 04 мар 2009, 11:00 
Не в сети

Зарегистрирован: 19 июн 2007, 13:41
Сообщения: 929
А если так?


interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0
ip access-group 30 in


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения:
СообщениеДобавлено: 04 мар 2009, 13:17 
Не в сети

Зарегистрирован: 28 фев 2009, 10:42
Сообщения: 6
сам допер уже что лист надо было вешать на внутренний интерфейс как IN

но все равно спасибо большое


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ]  На страницу 1, 2  След.

Часовой пояс: UTC


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB