Добрый день и ночь всем!!
Есть маршрутизатор со следующей прошивкой "c1841-adventerprisek9-mz.124-15". Один интерфейс подключен к интернету, имеет статический ип. Второй интерфейс смотрит во внутреннюю сеть, куда по DHCP раздаются адреса. Необходимо организовать доступ для станций из внутренней сети в интернет через overload внешнего интерфейса. В то же время интернет должен быть зарезан, т. е. октрыты сугубо определенные ресурсы.
Сначала пытался сделать ограничение на доступ, повесив на вход внутреннего интерфейса acl-ку. Но успех имел место весьма сомнительный.interface FastEthernet0/0 // внешний интерфейс
ip address AAA.AAA.AAA.AAA MMM.MMM.MMM.MMM
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
interface FastEthernet0/1
ip address 172.16.166.1 255.255.255.0
ip access-group List in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
ip nat inside source list NAT interface FastEthernet0/0 overload
ip access-list extended NAT
permit ip 172.16.166.0 0.0.0.255 any
ip access-list extended List
...
...
...
deny ip any any // для наглядности
ACL не привожу, там перепроверял все по 100 раз. Но доступ есть по сути хоть куда. В частности закрыт http доступ, но странички веб-сайтов все равно частично открываются - появляются заголовки, верхние строки и элементы управления, чего быть не должно. Вообщем потом уже подумал, что схема не совсем правильная, что нужно ограничивать доступ сразу в нате.
Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе access-list не смотрит, получается?
В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL List вообще отрубил - инета не стало вообще.
Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за понимание.
