форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Помогите настроить расширенные списки доступа на Cisco 2621"
Сообщение от Koort on 10-Июн-04, 16:34  (MSK)
На циске поднят NAT и фильтрация access-list standard: -------------- interface FastEthernet0/0 ip address xxxxxxxxxx ip nat outside -------------- interface FastEthernet0/1 ip address 10.0.0.1 255.255.0.0 duplex full speed 100 ! interface FastEthernet0/1.11 encapsulation dot1Q 11 ip address 192.168.1.1 255.255.255.0 ip nat inside -------------- ip nat inside source list allow-internet1 interface FastEthernet0/0 overload -------------- ip access-list standard allow-internet1 permit 192.168.1.233 deny any -------------- И все вроде фильтруется и работает. Но хотелось бы фильтровать пакеты еще и по протоколу. Для этого вроде используются расширенные списки доступа, но конфигурация списка приведенная ниже доступа к веб-контенту не дает (порты 80 и 443). Может кто что подскажет?? -------------- ip access-list extended allow-internet1 permit tcp host 192.168.1.233 eq www any established permit tcp host 192.168.1.233 eq 443 any established --------------
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите настроить расширенные списки доступа на Cisco 2621"
Сообщение от ВОЛКА on 10-Июн-04, 18:04  (MSK)
>На циске поднят NAT и фильтрация access-list standard: >-------------- >interface FastEthernet0/0 > ip address xxxxxxxxxx > ip nat outside >-------------- >interface FastEthernet0/1 > ip address 10.0.0.1 255.255.0.0 > duplex full > speed 100 >! >interface FastEthernet0/1.11 > encapsulation dot1Q 11 > ip address 192.168.1.1 255.255.255.0   ip access-group INET-ACCESS > ip nat inside >-------------- ip nat inside source list NAT_ACL interface FastEthernet0/0 overload >-------------- ip access-list standard NAT-ACL permit 192.168.1.0 0.0.0.255 >-------------- > >И все вроде фильтруется и работает. Но хотелось бы фильтровать пакеты еще >и по протоколу. Для этого вроде используются расширенные списки доступа, но >конфигурация списка приведенная ниже доступа к веб-контенту не дает (порты 80 >и 443). Может кто что подскажет?? > >-------------- ip access-list extended INET-ACCESS perm  udp any any eq 53 perm  icmp any any echo permit tcp host 192.168.1.233 any eq www permit tcp host 192.168.1.233 any eq 443 >--------------
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Помогите настроить расширенные списки доступа на Cisco 2621"
	Сообщение от Koort on 16-Июн-04, 13:09  (MSK)
	Сделал так: >interface FastEthernet0/1.11 > encapsulation dot1Q 11 > ip address 192.168.1.1 255.255.255.0    ip access-group INET-ACCESS in > ip nat inside >-------------- >ip nat inside source list NAT_ACL interface FastEthernet0/0 overload >-------------- >ip access-list standard NAT-ACL > permit 192.168.1.0 0.0.0.255 >-------------- >ip access-list extended INET-ACCESS > perm  udp any any eq 53 > perm  icmp any any echo    permit tcp host 192.168.1.233 any eq www established    permit tcp host 192.168.1.233 any eq 443 established >-------------- ping к удаленным хостам проходит, dns-сервер провайдера имена транслирует, но контент не загружается...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Помогите настроить расширенные списки доступа на Cisco 2621"
	Сообщение от Koort on 16-Июн-04, 13:24  (MSK)
	Sorry, убрал established и все заработало. Спасибо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.