форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Настройка access-group - блокируется весь трафик"	+/–
Сообщение от aerounit on 22-Авг-12, 07:10
Обновил IOS и получил блокировку всего трафика через внешний IP-шлюза. Маршрутизатор Cisco 2821 (c2800nm-advipservicesk9-mz.151-3.T2). ip access-list extended From_Internet permit icmp any any echo permit icmp any any echo-reply permit icmp any any time-exceeded permit icmp any any packet-too-big permit icmp any any unreachable permit udp any eq isakmp host 8x.x.x.228 eq isakmp permit udp any host 8x.x.x.228 eq non500-isakmp permit esp any host 8x.x.x.228 permit ip host 6x.x.x.222 any permit udp any any eq domain permit tcp any any eq domain permit tcp any any eq smtp permit tcp any any eq pop3 permit tcp any host 8x.x.x.228 eq 1533 permit tcp host 6x.x.x.222 host 8x.x.x.228 eq 22 permit tcp host 21x.x.x.81 host 8x.x.x.228 eq 22 deny   ip 10.0.0.0 0.255.255.255 any deny   ip 172.16.0.0 0.15.255.255 any deny   ip 192.168.0.0 0.0.255.255 any deny   ip 127.0.0.0 0.255.255.255 any deny   ip host 0.0.0.0 any deny   ip host 255.255.255.255 any deny   ip any host 8x.x.x.228 deny   ip any any log Что изменилось в логике, что правило перестало работать? Применяю простое правило: ip access-list extended From_Internet_test deny   ip any host 8x.x.x.228 eq 22 и опять получаю блокировку Не понимаю!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка access-group - блокируется весь трафик"	+/–
Сообщение от elk_killa (ok) on 22-Авг-12, 08:30
> Не понимаю! если ACL применен на интерфейсе с адресом 8x.x.x.228 на in (?), добавьте строку permit tcp any any established
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка access-group - блокируется весь трафик"	+/–
Сообщение от crash (ok) on 22-Авг-12, 10:52
>Применяю простое правило: угу простое, где все заблокировано. Вы бы рассказали конкретно что у вас не работает. Доступ по ssh на внешний адрес?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Настройка access-group - блокируется весь трафик"	+/–
	Сообщение от aerounit on 22-Авг-12, 11:32
	>>Применяю простое правило: > угу простое, где все заблокировано. > Вы бы рассказали конкретно что у вас не работает. Доступ по ssh > на внешний адрес? Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить доступ моих подсетей к интернету, но как это работало до обновления IOS?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Настройка access-group - блокируется весь трафик"	+/–
	Сообщение от crash (ok) on 22-Авг-12, 11:40
	>>>Применяю простое правило: >> угу простое, где все заблокировано. >> Вы бы рассказали конкретно что у вас не работает. Доступ по ssh >> на внешний адрес? > Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к > интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он > случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить > доступ моих подсетей к интернету, но как это работало до обновления > IOS? так не удивительно, вы же запретили все. Давайте выкладывайте полный конфиг. Вполне возможно что у вас было настроено inspect, которого сейчас нет
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Настройка access-group - блокируется весь трафик"	+/–
	Сообщение от aerounit on 22-Авг-12, 16:07
	>[оверквотинг удален] >>> угу простое, где все заблокировано. >>> Вы бы рассказали конкретно что у вас не работает. Доступ по ssh >>> на внешний адрес? >> Работает только то, что явно разрешено (echo-reply, например). Не работает доступ к >> интернету (http/https, Mailru-агент, например). Работает еще скайп, но каким образом он >> случается со своим сервером непонятно. Я понимаю, что нужно явно разрешить >> доступ моих подсетей к интернету, но как это работало до обновления >> IOS? > так не удивительно, вы же запретили все. Давайте выкладывайте полный конфиг. > Вполне возможно что у вас было настроено inspect, которого сейчас нет Вот оно че... он то и пропал. Всем спасибо - пойду покурю и буду разбираться с inspect.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема