Новые ответы

Помогите допилить ACL,

Doc, 28-Окт-14, 15:44 [смотреть все]

Господа пишу простенький ACL на маршрутере 2911 но уперся в проблему DHCP
цель ограничить доступ клиентам по времени и портам
DHCP на венде с адресом 192.1.2.10 dns там же
получил такой ACL
access-list 2131 permit ip any host 192.1.2.10
access-list 2131 permit tcp any host 192.0.2.30 eq smtp time-range guest
access-list 2131 permit tcp any host 192.0.2.30 eq pop3 time-range guest
access-list 2131 deny   tcp any 192.0.0.0 0.255.255.255
access-list 2131 permit tcp any any eq www time-range guest
access-list 2131 permit tcp any any eq smtp time-range guest
access-list 2131 permit tcp any any eq 465 time-range guest
access-list 2131 permit tcp any any eq 995 time-range guest
access-list 2131 permit tcp any any eq 587 time-range guest
access-list 2131 permit tcp any any eq pop3 time-range guest
access-list 2131 permit tcp any any eq 143 time-range guest
access-list 2131 permit tcp any any eq 443 time-range guest
access-list 2131 permit udp any any eq nameserver time-range guest
####access-list 2131 permit ip any any time-range guest##### - без этой строчки адреса не получает
access-list 2131 deny   ip any any

помогите понять что ещё надо прописать чтобы было получение адресов без ip any any
маршрутизация поднята  на этом же маршрутере

Ответить | Сообщить модератору

Помогите допилить ACL, Vasily, 15:55 , 28-Окт-14 (1)
> access-list 2131 permit tcp any any eq pop3 time-range guest
> access-list 2131 permit tcp any any eq 143 time-range guest
> access-list 2131 permit tcp any any eq 443 time-range guest
> access-list 2131 permit udp any any eq nameserver time-range guest
> ####access-list 2131 permit ip any any time-range guest##### - без этой строчки
> адреса не получает
> access-list 2131 deny ip any any
> помогите понять что ещё надо прописать чтобы было получение адресов без ip
> any any
> маршрутизация поднята на этом же маршрутере
Разреши еще udp на 67 и 68:
perm udp any any eq 67
perm udp any any eq 68
А вообще в конце можно написать deny ip any any log и посмотреть какой трафик попадает в этот самый deny.

Ответить | Сообщить модератору

Помогите допилить ACL, Doc, 16:10 , 28-Окт-14 (2)
>[оверквотинг удален]
>> адреса не получает
>> access-list 2131 deny ip any any
>> помогите понять что ещё надо прописать чтобы было получение адресов без ip
>> any any
>> маршрутизация поднята на этом же маршрутере
> Разреши еще udp на 67 и 68:
> perm udp any any eq 67
> perm udp any any eq 68
> А вообще в конце можно написать deny ip any any log и
> посмотреть какой трафик попадает в этот самый deny.
так ведь первой строкой я весь трафик разрешаю на сервер где dhcp
Ответить | Сообщить модератору

Помогите допилить ACL, gfh, 16:38 , 28-Окт-14 (3)
> так ведь первой строкой я весь трафик разрешаю на сервер где dhcp
DHCP работает на броадкастах (255.255.255.255), откуда комп не имеющий адреса может знать про сервер и про ip адресацию в свой подести? :)
Ответить | Сообщить модератору

Помогите допилить ACL, Doc, 16:44 , 28-Окт-14 (4)
>> так ведь первой строкой я весь трафик разрешаю на сервер где dhcp
> DHCP работает на броадкастах (255.255.255.255), откуда комп не имеющий адреса может знать
> про сервер и про ip адресацию в свой подести? :)
хммм об этом я как-то не подумал
Ответить | Сообщить модератору

Помогите допилить ACL, Vasily, 16:45 , 28-Окт-14 (5)
>[оверквотинг удален]
>>> access-list 2131 deny ip any any
>>> помогите понять что ещё надо прописать чтобы было получение адресов без ip
>>> any any
>>> маршрутизация поднята на этом же маршрутере
>> Разреши еще udp на 67 и 68:
>> perm udp any any eq 67
>> perm udp any any eq 68
>> А вообще в конце можно написать deny ip any any log и
>> посмотреть какой трафик попадает в этот самый deny.
> так ведь первой строкой я весь трафик разрешаю на сервер где dhcp
тогда вместо 192.... 255.255.255.255 и будет ок
Ответить | Сообщить модератору