- NAT. Помогите!, ВОЛКА, 00:02 , 02-Июл-03 (1)
access-list 3 deny host 100.150.200.10 access-list 3 permit 100.150.200.11 0.0.0.31
- NAT. Помогите!, ВОЛКА, 00:02 , 02-Июл-03 (2)
access-list 3 deny host 100.150.200.10 access-list 3 permit 100.150.200.0 0.0.0.31
- NAT. Помогите!, Andrew, 08:58 , 03-Июл-03 (3)
>access-list 3 deny host 100.150.200.10 >access-list 3 permit 100.150.200.0 0.0.0.31 Мысль интересная... Но я так уже делал. Не проходит. 100.150.200.10 все равно натится. Хотя... Попутно вопросик. Как удалить pool и access-list задействованные для трансляции? Мне циска пишет, что не может удалить, так как они активные. Но у меня кроме 100.150.200.10 не было включено ни одного клиента. Его я даже физически вырубал... ip nat тоже пытался убрать. Тоже самое пишет. Может у меня руки кривые?
- NAT. Помогите!, ВОЛКА, 10:20 , 03-Июл-03 (4)
- NAT. Помогите!, Andrew, 17:40 , 03-Июл-03 (5)
Попробовал сделать еще раз следующее: access-list Y deny host X.X.X.10 access-list Y permit X.X.X.0 0.0.0.31 Заработало вроде. Но почему до этого не работало? Поднял свои записи, делал так и раньше и не работало. Странно...
- NAT. Помогите!, Вячеслав, 10:02 , 07-Июл-03 (6)
>Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не >смог найти подробное объяснение маски в CISCO. Может я не прав (т.к. не гуру :) ), но маска доступа в акцесс-листах циски есть ничто иное как двоичная инверсия привычной всем нам маски. Например 255.255.255.0 = 0.0.0.255 255.255.255.255 = 0.0.0.0 255.255.255.252 = 0.0.0.3 и т.д. и подчиняется тем же самым законам что и обычные маски. Если нуна выкусить хост или диапазон айпи, то пишем соответсвующее deny правило, а ПОТОМ разрешающее на весь диапазон, что Вы собственно и сделали. А не работало скорее всего потому, что правило deny стояло после permit и соответственно не выполнялось. В конце всех правил вообще есть неявно заданное deny any any , но это не значит что каждый акцесс рубит адназначна весь траффик :) Акцесс листы это такая штука, в которой низя рубануть выборочно правило. Когда назревает рихтовка акцесс листа то его сначала удаляют, а потом набивают с нуля. Кому лень это делать кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее: no access-list 101 access-list 101 permit .... access-list 101 permit .... access-list 101 permit .... access-list 101 deny .... ..... ! no access-list 102 access-list 102 permit .... .....
- NAT. Помогите!, Andrew, 08:49 , 14-Июл-03 (7)
>Когда назревает рихтовка акцесс листа то его >сначала удаляют, а потом набивают с нуля. Кому лень это делать >кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее: > > >no access-list 101 >access-list 101 permit .... >access-list 101 permit .... >access-list 101 permit .... >access-list 101 deny .... >..... >! >no access-list 102 >access-list 102 permit .... >..... Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list активен поэтому удалить не могу :)) И что в это случае?
- NAT. Помогите!, Вячеслав, 10:29 , 14-Июл-03 (8)
>Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list >активен поэтому удалить не могу :)) И что в это случае? > Hi! ну первое что приходит в глову : а) временно отвинтить рихтуемый акцесс от соответсвующего интерфея б) на нужном интерфее сказать shut, рихтануть акцесс, сказать no shut в) забить на все и сказть reload, после чего сразу рихтовать лист :) .... Возможно есть более правильный путь, но я не гуру, не знаю :) Я лично с такой ситуацией пока не сталкивался, хотя у меня хватает листов и трафф по ним неслабый...
- NAT. Помогите!, Andrew, 17:06 , 15-Июл-03 (9)
Так и у меня листов хватает. И на одном интерфейсе сидят 5 ip-адресов. Поэтому обрубить линк просто так нельзя. Делал все как в доках написано. Но... Придется грубыми методами решать этот вопрос.
|