СвязьПроект :: Просмотр темы - ADDPAC 1100 и ACCESS-LIST

СвязьПроект http://old.xdsl.ru/svpro/

ADDPAC 1100 и ACCESS-LIST http://old.xdsl.ru/svpro/viewtopic.php?f=4&t=366	Страница 1 из 2

Автор:	cycik [ 28 фев 2009, 10:52 ]
Заголовок сообщения:	ADDPAC 1100 и ACCESS-LIST
Есть данный девайс настроен access-list на выход(out) стоят некие заперты на никие сайты, но это не важно если запрещать ВСЕМ т.е в строке source ставить ANY, то запреты работают , а если этой же строке указать определенный АЙ ПИ или подсеть например 192.168.0.0 0.0.0.255, то пакеты проходят т.е блокирвока не работает а вот для строки DESTINATION работает ВСЕ и единичный ай пи и группы адресов, проблема тока во внутренних адресах, такое ощущение что она их не "ПОНИМАЕТ" или не "ЗНАЕТ"

Автор:	Geniu$$ [ 01 мар 2009, 11:03 ]
Заголовок сообщения:
На какой интерфейс вы применяете access-list? Покажите ваш конфиг

Автор:	cycik [ 01 мар 2009, 12:44 ]
Заголовок сообщения:
применял для того и того без толку есть подохрение что дело в НАТе перепробовал почти все варнаты в течении 8 часов даже обнулял конфиг, и программировал с нуля конифг без запретов 31 лист на входящий, он работает Using 5201 out of 130868 bytes ! version 8.234 ! hostname AP1100 ! access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392 access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389 access-list 31 deny tcp any host 217.77.49.108 eq 3389 access-list 31 deny tcp any host 217.77.49.108 eq 3390 access-list 31 deny tcp any host 217.77.49.108 eq 3391 access-list 31 deny tcp any host 217.77.49.108 eq 3392 access-list 31 permit ip any any ! dhcp-list 1 type server dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128 ! nat-list 0 pat address 217.77.49.108 nat-list 0 pat static-entry tcp 1720 local nat-list 0 pat static-entry udp 5060 local nat-list 0 pat static-entry icmp ping local nat-list 0 pat static-entry tcp 20 local nat-list 0 pat static-entry tcp 80 local nat-list 0 pat static-entry tcp 21 local nat-list 0 pat static-entry tcp 25 192.168.0.30 nat-list 0 pat static-entry tcp 110 192.168.0.30 nat-list 0 pat static-entry tcp 22000 local nat-list 0 pat static-entry tcp 22001 local nat-list 0 pat static-entry tcp 50021 192.168.0.17 nat-list 0 pat static-entry tcp 3390 192.168.0.17 nat-list 0 pat group-static-entry udp 23000 24000 local nat-list 0 pat group-static-entry udp 16000 17000 local nat-list 0 pat group-static-entry tcp 14000 14007 local nat-list 0 pat group-static-entry tcp 10000 10007 local nat-list 0 pat group-static-entry tcp 18000 18007 local nat-list 0 pat static-entry tcp 8080 192.168.0.24 nat-list 0 pat static-entry tcp 3389 192.168.0.100 nat-list 0 pat static-entry tcp 3391 192.168.0.30 nat-list 0 pat static-entry tcp 3392 192.168.0.25 nat-list 0 pat static-entry tcp 3000 192.168.0.30 nat-list 0 pat static-entry tcp 23 local nat-list 0 pat static-entry tcp 4899 192.168.0.21 ! no ip-share enable ip-share interface net-side ether0.0 ip-share interface local-side ether1.0 ! interface ether0.0 ip address dhcp mac-address 00:10:4b:4f:46:4d ip access-group 31 in ! interface ether1.0 ip address 192.168.0.1 255.255.255.0 ip nat-group 0 pat ether0.0 ip accounting 0 ! snmp contact public snmp name AP1100-FXS8 no snmp trap-authentication ! no arp reset !

Автор:	cycik [ 02 мар 2009, 08:37 ]
Заголовок сообщения:
выяснилось что если с строке source вместо ANY нарисовать наш внешний ай пи то запреты, тоже работают соот. я так понимаю дело в НАТе всем пользователям присваевается внешний ай пи и вперед , соот. запреты и не работают а вот как сделать чтоб для отдельных внутренних адресов работали заперты, не догонаю пока (((

Автор:	Geniu$$ [ 02 мар 2009, 15:16 ]
Заголовок сообщения:
если создать отдельный лист c запретами и присвоить его на ethernet 1.0 ?

Автор:	cycik [ 02 мар 2009, 16:10 ]
Заголовок сообщения:
дак я и так создаю отдельный лист просто в этом конфиге его нет, пробовал на оба интерфейса, не помогае

Автор:	Geniu$$ [ 03 мар 2009, 20:20 ]
Заголовок сообщения:
Покажите тот конфиг который не работает, мне тяжело гадать, что и куда вы присваиваете

Автор:	cycik [ 04 мар 2009, 06:41 ]
Заголовок сообщения:
для примера Using 5321 out of 130868 bytes ! version 8.234 ! hostname AP1100 ! access-list 30 deny ip host 192.168.0.21 host any access-list 30 permit ip any any access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3389 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3390 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3391 access-list 31 permit tcp host 10.8.38.27 host 217.77.49.108 eq 3392 access-list 31 permit tcp host 10.10.0.45 host 217.77.49.108 eq 3389 access-list 31 deny tcp any host 217.77.49.108 eq 3389 access-list 31 deny tcp any host 217.77.49.108 eq 3390 access-list 31 deny tcp any host 217.77.49.108 eq 3391 access-list 31 deny tcp any host 217.77.49.108 eq 3392 access-list 31 permit ip any any ! dhcp-list 1 type server dhcp-list 1 address server 10.1.1.2 10.1.1.126 255.255.255.128 ! nat-list 0 pat address 217.77.49.108 nat-list 0 pat static-entry tcp 1720 local nat-list 0 pat static-entry udp 5060 local nat-list 0 pat static-entry icmp ping local nat-list 0 pat static-entry tcp 20 local nat-list 0 pat static-entry tcp 80 local nat-list 0 pat static-entry tcp 21 local nat-list 0 pat static-entry tcp 25 192.168.0.30 nat-list 0 pat static-entry tcp 110 192.168.0.30 nat-list 0 pat static-entry tcp 22000 local nat-list 0 pat static-entry tcp 22001 local nat-list 0 pat static-entry tcp 50021 192.168.0.17 nat-list 0 pat static-entry tcp 3390 192.168.0.17 nat-list 0 pat group-static-entry udp 23000 24000 local nat-list 0 pat group-static-entry udp 16000 17000 local nat-list 0 pat group-static-entry tcp 14000 14007 local nat-list 0 pat group-static-entry tcp 10000 10007 local nat-list 0 pat group-static-entry tcp 18000 18007 local nat-list 0 pat static-entry tcp 8080 192.168.0.24 nat-list 0 pat static-entry tcp 3389 192.168.0.100 nat-list 0 pat static-entry tcp 3391 192.168.0.30 nat-list 0 pat static-entry tcp 3392 192.168.0.25 nat-list 0 pat static-entry tcp 3000 192.168.0.30 nat-list 0 pat static-entry tcp 23 local nat-list 0 pat static-entry tcp 4899 192.168.0.21 ! no ip-share enable ip-share interface net-side ether0.0 ip-share interface local-side ether1.0 ! interface ether0.0 ip address dhcp mac-address 00:10:4b:4f:46:4d ip access-group 31 in ip access-group 30 out ! interface ether1.0 ip address 192.168.0.1 255.255.255.0 ip nat-group 0 pat ether0.0 ip accounting 0 192,168,0,21 ходит куда хочет вешал на оба интерфейса и и ин и аут

Автор:	Geniu$$ [ 04 мар 2009, 11:00 ]
Заголовок сообщения:
А если так? interface ether0.0 ip address dhcp mac-address 00:10:4b:4f:46:4d ip access-group 31 in ! interface ether1.0 ip address 192.168.0.1 255.255.255.0 ip nat-group 0 pat ether0.0 ip accounting 0 ip access-group 30 in

Автор:	cycik [ 04 мар 2009, 13:17 ]
Заголовок сообщения:
сам допер уже что лист надо было вешать на внутренний интерфейс как IN но все равно спасибо большое

Страница 1 из 2	Часовой пояс: UTC
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/