- NAT. Помогите!,
 ВОЛКА, 00:02 , 02-Июл-03 (1)access-list 3 deny host 100.150.200.10
access-list 3 permit 100.150.200.11 0.0.0.31
- NAT. Помогите!, ВОЛКА, 00:02 , 02-Июл-03 (2)
access-list 3 deny host 100.150.200.10
access-list 3 permit 100.150.200.0 0.0.0.31
- NAT. Помогите!, Andrew, 08:58 , 03-Июл-03 (3)
>access-list 3 deny host 100.150.200.10
>access-list 3 permit 100.150.200.0 0.0.0.31 Мысль интересная... Но я так уже делал. Не проходит. 100.150.200.10 все равно натится. Хотя... Попутно вопросик. Как удалить pool и access-list задействованные для трансляции? Мне циска пишет, что не может удалить, так как они активные. Но у меня кроме 100.150.200.10 не было включено ни одного клиента. Его я даже физически вырубал... ip nat тоже пытался убрать. Тоже самое пишет. Может у меня руки кривые?
- NAT. Помогите!, ВОЛКА, 10:20 , 03-Июл-03 (4)
- NAT. Помогите!, Andrew, 17:40 , 03-Июл-03 (5)
Попробовал сделать еще раз следующее:
access-list Y deny host X.X.X.10
access-list Y permit X.X.X.0 0.0.0.31
Заработало вроде. Но почему до этого не работало? Поднял свои записи, делал так и раньше и не работало. Странно...
- NAT. Помогите!, Вячеслав, 10:02 , 07-Июл-03 (6)
>Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не
>смог найти подробное объяснение маски в CISCO. Может я не прав (т.к. не гуру :) ), но маска доступа в акцесс-листах циски есть ничто иное как двоичная инверсия привычной всем нам маски. Например 255.255.255.0 = 0.0.0.255
255.255.255.255 = 0.0.0.0
255.255.255.252 = 0.0.0.3 и т.д. и подчиняется тем же самым законам что и обычные маски.
Если нуна выкусить хост или диапазон айпи, то пишем соответсвующее deny правило, а ПОТОМ разрешающее на весь диапазон, что Вы собственно и сделали. А не работало скорее всего потому, что правило deny стояло после permit и соответственно не выполнялось. В конце всех правил вообще есть неявно заданное deny any any , но это не значит что каждый акцесс
рубит адназначна весь траффик :) Акцесс листы это такая штука, в которой низя рубануть выборочно правило. Когда назревает рихтовка акцесс листа то его сначала удаляют, а потом набивают с нуля. Кому лень это делать кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее: no access-list 101
access-list 101 permit ....
access-list 101 permit ....
access-list 101 permit ....
access-list 101 deny ....
.....
!
no access-list 102
access-list 102 permit ....
.....
- NAT. Помогите!, Andrew, 08:49 , 14-Июл-03 (7)
>Когда назревает рихтовка акцесс листа то его
>сначала удаляют, а потом набивают с нуля. Кому лень это делать
>кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее:
>
>
>no access-list 101
>access-list 101 permit ....
>access-list 101 permit ....
>access-list 101 permit ....
>access-list 101 deny ....
>.....
>!
>no access-list 102
>access-list 102 permit ....
>..... Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list активен поэтому удалить не могу :)) И что в это случае?
- NAT. Помогите!, Вячеслав, 10:29 , 14-Июл-03 (8)
>Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list
>активен поэтому удалить не могу :)) И что в это случае?
>
Hi!
ну первое что приходит в глову :
а) временно отвинтить рихтуемый акцесс от соответсвующего интерфея
б) на нужном интерфее сказать shut, рихтануть акцесс, сказать no shut
в) забить на все и сказть reload, после чего сразу рихтовать лист :)
....
Возможно есть более правильный путь, но я не гуру, не знаю :) Я лично
с такой ситуацией пока не сталкивался, хотя у меня хватает листов и
трафф по ним неслабый...
- NAT. Помогите!, Andrew, 17:06 , 15-Июл-03 (9)
Так и у меня листов хватает. И на одном интерфейсе сидят 5 ip-адресов. Поэтому обрубить линк просто так нельзя. Делал все как в доках написано. Но... Придется грубыми методами решать этот вопрос.
|
Версия для распечатки
NAT. Помогите!, 
