>>Всем доброго времени суток!
>>Есть циска 2611. Через F0/0 пакеты уходят и приходят с мира, через
>>F0/1 на клиентов. На F0/1 в роли шлюзов выступают разные адреса
>>типа:
>>interface FastEthernet0/1
>>ip address 100.100.100.99 255.255.255.252 secondary
>>etc
>>etc
>>ip address 100.100.100.95 255.255.255.252
>>
>>Мне для подсетки 100.100.100.98 255.255.255.252 надо прописать acl таким образом, чтоб работали
>>только pop3, smtp, icmp и порт 9997 (сгдс) и привязать его
>>к 1-му интерфейсу. Сейчас у меня вот такой acl, но он
>>не пашет, почему - не знаю.
>>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>>20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
>>30 permit tcp any 100.100.100.98 0.0.0.3 eq pop3
>>40 permit tcp 100.100.100.98 0.0.0.3 any eq pop3
>>50 permit tcp 100.100.100.98 0.0.0.3 any eq 9997
>>60 permit tcp any 100.100.100.98 0.0.0.3 eq 9997
>>70 permit tcp 100.100.100.98 0.0.0.3 any eq echo
>>80 permit tcp any 100.100.100.98 0.0.0.3 eq echo
>>90 deny tcp 100.100.100.98 0.0.0.3 any
>>100 deny tcp any 100.100.100.98 0.0.0.3
>>В общем, надо, чтобы работала почта, ходили пинги, был открыт порт 9997.
>>Все остальное закрыть. Кто что посоветует, буду благодарен.
>>Всем заранее сэнки...
>>ЗЫ. Айпишники, как вы поняли, взяты с потолка )))
>
>
>И небудет пахать :)
>может конфиг покажешь, как ACL записан и куда повешен?
>
>и еще, если все это в одном ACL, то неправильно
>10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
>
>а надо
>10 permit tcp any eq smtp 100.100.100.98 0.0.0.3
>
>ну и далее по тексту....
Порядок то как раз правильный, в extended ACL порт (диапазон) указывается в конце.
Судя по всему все правила записаны в один ACL, тогда неверно писать зеркальные правила
10 permit tcp any 100.100.100.98 0.0.0.3 eq smtp
20 permit tcp 100.100.100.98 0.0.0.3 any eq smtp
поскольку ACL вешается на интерфейс с указанием направления in/out. Т.е. в любом случае половина правил смысла иметь не будет
|
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 18-Апр-06, 18:31 
