Новые ответы

Настройка access-group - блокируется весь трафик,

aerounit, 22-Авг-12, 07:10 [смотреть все]

Обновил IOS и получил блокировку всего трафика через внешний IP-шлюза. Маршрутизатор Cisco 2821 (c2800nm-advipservicesk9-mz.151-3.T2).

ip access-list extended From_Internet
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any packet-too-big
permit icmp any any unreachable
permit udp any eq isakmp host 8x.x.x.228 eq isakmp
permit udp any host 8x.x.x.228 eq non500-isakmp
permit esp any host 8x.x.x.228
permit ip host 6x.x.x.222 any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq smtp
permit tcp any any eq pop3
permit tcp any host 8x.x.x.228 eq 1533
permit tcp host 6x.x.x.222 host 8x.x.x.228 eq 22
permit tcp host 21x.x.x.81 host 8x.x.x.228 eq 22
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 0.0.0.0 any
deny   ip host 255.255.255.255 any
deny   ip any host 8x.x.x.228
deny   ip any any log

Что изменилось в логике, что правило перестало работать?
Применяю простое правило:
ip access-list extended From_Internet_test
deny   ip any host 8x.x.x.228 eq 22
и опять получаю блокировку
Не понимаю!

Ответить | Сообщить модератору

Настройка access-group - блокируется весь трафик, elk_killa, 08:30 , 22-Авг-12 (1)
> Не понимаю!
если ACL применен на интерфейсе с адресом 8x.x.x.228 на in (?), добавьте строку
permit tcp any any established
Ответить | Сообщить модератору
Настройка access-group - блокируется весь трафик, crash, 10:52 , 22-Авг-12 (2)
>Применяю простое правило:
угу простое, где все заблокировано.
Вы бы рассказали конкретно что у вас не работает. Доступ по ssh на внешний адрес?
Ответить | Сообщить модератору

Настройка access-group - блокируется весь трафик, aerounit, 11:32 , 22-Авг-12 (3)
>>Применяю простое правило:
> угу простое, где все заблокировано.
> Вы бы рассказали конкретно что у вас не работает. Доступ по ssh
> на внешний адрес?
Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить доступ моих подсетей к интернету, но как это работало до обновления IOS?
Ответить | Сообщить модератору

Настройка access-group - блокируется весь трафик, crash, 11:40 , 22-Авг-12 (4)
>>>Применяю простое правило:
>> угу простое, где все заблокировано.
>> Вы бы рассказали конкретно что у вас не работает. Доступ по ssh
>> на внешний адрес?
> Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к
> интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он
> случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить
> доступ моих подсетей к интернету, но как это работало до обновления
> IOS?
так не удивительно, вы же запретили все. Давайте выкладывайте полный конфиг.
Вполне возможно что у вас было настроено inspect, которого сейчас нет
Ответить | Сообщить модератору

Настройка access-group - блокируется весь трафик, aerounit, 16:07 , 22-Авг-12 (5)
>[оверквотинг удален]
>>> угу простое, где все заблокировано.
>>> Вы бы рассказали конкретно что у вас не работает. Доступ по ssh
>>> на внешний адрес?
>> Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к
>> интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он
>> случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить
>> доступ моих подсетей к интернету, но как это работало до обновления
>> IOS?
> так не удивительно, вы же запретили все. Давайте выкладывайте полный конфиг.
> Вполне возможно что у вас было настроено inspect, которого сейчас нет
Вот оно че... он то и пропал.
Всем спасибо - пойду покурю и буду разбираться с inspect.
Ответить | Сообщить модератору