СвязьПроект

Есть данный девайс
настроен access-list на выход(out)
стоят некие заперты на никие сайты, но это не важно

если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают , а если этой же строке указать определенный АЙ ПИ или подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает

а вот для строки DESTINATION работает ВСЕ и единичный ай пи и группы адресов, проблема тока во внутренних адресах, такое ощущение что она их не "ПОНИМАЕТ" или не "ЗНАЕТ"

На какой интерфейс вы применяете access-list?
Покажите ваш конфиг

применял для того и того без толку
есть подохрение что дело в НАТе
перепробовал почти все варнаты в течении 8 часов
даже обнулял конфиг, и программировал с нуля

конифг без запретов
31 лист на входящий, он работает

Using 5201 out of 130868 bytes
!
version 8.234
!
hostname AP1100
!
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392
access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3390
access-list 31 deny tcp any host 217.77.49.108 eq 3391
access-list 31 deny tcp any host 217.77.49.108 eq 3392
access-list 31 permit ip any any
!
dhcp-list 1 type server
dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128
!
nat-list 0 pat address 217.77.49.108
nat-list 0 pat static-entry tcp 1720 local
nat-list 0 pat static-entry udp 5060 local
nat-list 0 pat static-entry icmp ping local
nat-list 0 pat static-entry tcp 20 local
nat-list 0 pat static-entry tcp 80 local
nat-list 0 pat static-entry tcp 21 local
nat-list 0 pat static-entry tcp 25 192.168.0.30
nat-list 0 pat static-entry tcp 110 192.168.0.30
nat-list 0 pat static-entry tcp 22000 local
nat-list 0 pat static-entry tcp 22001 local
nat-list 0 pat static-entry tcp 50021 192.168.0.17
nat-list 0 pat static-entry tcp 3390 192.168.0.17
nat-list 0 pat group-static-entry udp 23000 24000 local
nat-list 0 pat group-static-entry udp 16000 17000 local
nat-list 0 pat group-static-entry tcp 14000 14007 local
nat-list 0 pat group-static-entry tcp 10000 10007 local
nat-list 0 pat group-static-entry tcp 18000 18007 local
nat-list 0 pat static-entry tcp 8080 192.168.0.24
nat-list 0 pat static-entry tcp 3389 192.168.0.100
nat-list 0 pat static-entry tcp 3391 192.168.0.30
nat-list 0 pat static-entry tcp 3392 192.168.0.25
nat-list 0 pat static-entry tcp 3000 192.168.0.30
nat-list 0 pat static-entry tcp 23 local
nat-list 0 pat static-entry tcp 4899 192.168.0.21
!
no ip-share enable
ip-share interface net-side ether0.0
ip-share interface local-side ether1.0
!
interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0
!
snmp contact public
snmp name AP1100-FXS8
no snmp trap-authentication
!
no arp reset
!

выяснилось что если с строке source вместо ANY нарисовать наш внешний ай пи то запреты, тоже работают
соот. я так понимаю дело в НАТе
всем пользователям присваевается внешний ай пи и вперед , соот. запреты и не работают
а вот как сделать чтоб для отдельных внутренних адресов работали заперты, не догонаю пока (((

если создать отдельный лист c запретами и присвоить его на ethernet 1.0 ?

дак я и так создаю отдельный лист просто в этом конфиге его нет,
пробовал на оба интерфейса, не помогае

Покажите тот конфиг который не работает, мне тяжело гадать, что и куда вы присваиваете

для примера

Using 5321 out of 130868 bytes
!
version 8.234
!
hostname AP1100
!
access-list 30 deny ip host 192.168.0.21 host any
access-list 30 permit ip any any
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391
access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392
access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3389
access-list 31 deny tcp any host 217.77.49.108 eq 3390
access-list 31 deny tcp any host 217.77.49.108 eq 3391
access-list 31 deny tcp any host 217.77.49.108 eq 3392
access-list 31 permit ip any any
!
dhcp-list 1 type server
dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128
!
nat-list 0 pat address 217.77.49.108
nat-list 0 pat static-entry tcp 1720 local
nat-list 0 pat static-entry udp 5060 local
nat-list 0 pat static-entry icmp ping local
nat-list 0 pat static-entry tcp 20 local
nat-list 0 pat static-entry tcp 80 local
nat-list 0 pat static-entry tcp 21 local
nat-list 0 pat static-entry tcp 25 192.168.0.30
nat-list 0 pat static-entry tcp 110 192.168.0.30
nat-list 0 pat static-entry tcp 22000 local
nat-list 0 pat static-entry tcp 22001 local
nat-list 0 pat static-entry tcp 50021 192.168.0.17
nat-list 0 pat static-entry tcp 3390 192.168.0.17
nat-list 0 pat group-static-entry udp 23000 24000 local
nat-list 0 pat group-static-entry udp 16000 17000 local
nat-list 0 pat group-static-entry tcp 14000 14007 local
nat-list 0 pat group-static-entry tcp 10000 10007 local
nat-list 0 pat group-static-entry tcp 18000 18007 local
nat-list 0 pat static-entry tcp 8080 192.168.0.24
nat-list 0 pat static-entry tcp 3389 192.168.0.100
nat-list 0 pat static-entry tcp 3391 192.168.0.30
nat-list 0 pat static-entry tcp 3392 192.168.0.25
nat-list 0 pat static-entry tcp 3000 192.168.0.30
nat-list 0 pat static-entry tcp 23 local
nat-list 0 pat static-entry tcp 4899 192.168.0.21
!
no ip-share enable
ip-share interface net-side ether0.0
ip-share interface local-side ether1.0
!
interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
ip access-group 30 out
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0


192,168,0,21 ходит куда хочет
вешал на оба интерфейса и и ин и аут

А если так?


interface ether0.0
ip address dhcp
mac-address 00:10:4b:4f:46:4d
ip access-group 31 in
!
interface ether1.0
ip address 192.168.0.1 255.255.255.0
ip nat-group 0 pat ether0.0
ip accounting 0
ip access-group 30 in

сам допер уже что лист надо было вешать на внутренний интерфейс как IN

но все равно спасибо большое