форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"ACL и Nat-inside на интерфейсе"		+/–
Сообщение от psizo3552 (ok) on 11-Авг-09, 09:36
Добрый день и ночь всем!! Есть маршрутизатор со следующей прошивкой "c1841-adventerprisek9-mz.124-15". Один интерфейс подключен к интернету, имеет статический ип. Второй интерфейс смотрит во внутреннюю сеть, куда по DHCP раздаются адреса. Необходимо организовать доступ для станций из внутренней сети в интернет через overload внешнего интерфейса. В то же время интернет должен быть зарезан, т. е. октрыты сугубо определенные ресурсы. Сначала пытался сделать ограничение на доступ, повесив на вход внутреннего интерфейса acl-ку. Но успех имел место весьма сомнительный. interface FastEthernet0/0        // внешний интерфейс ip address AAA.AAA.AAA.AAA MMM.MMM.MMM.MMM ip nat outside ip virtual-reassembly no ip mroute-cache duplex auto speed auto interface FastEthernet0/1 ip address 172.16.166.1 255.255.255.0 ip access-group List in ip nat inside ip virtual-reassembly duplex auto speed auto ip nat inside source list NAT interface FastEthernet0/0 overload ip access-list extended NAT permit ip 172.16.166.0 0.0.0.255 any ip access-list extended List ... ... ... deny ip any any // для наглядности ACL не привожу, там перепроверял все по 100 раз. Но доступ есть по сути хоть куда. В частности закрыт http доступ, но странички веб-сайтов все равно частично открываются - появляются заголовки, верхние строки и элементы управления, чего быть не должно. Вообщем потом уже подумал, что схема не совсем правильная, что нужно ограничивать доступ сразу в нате. Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе access-list не смотрит, получается? В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL List вообще отрубил - инета не стало вообще. Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за понимание.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL и Nat-inside на интерфейсе"		+/–
Сообщение от Murzik (??) on 11-Авг-09, 12:31
> > >interface FastEthernet0/1 > ip address 172.16.166.1 255.255.255.0 > ip access-group List in Это убираем! > ip nat inside > ip virtual-reassembly > duplex auto > speed auto > >ip nat inside source list NAT interface FastEthernet0/0 overload строчка вида : ip nat inside sourse list List interface Fa0/0 overload > >ip access-list extended NAT > permit ip 172.16.166.0 0.0.0.255 any И эти 2 строчки убираем >ip access-list extended List Тут правила доступа вида permit ip host 172.16.166.2 host XX.XX.XX.XX если надо указываем порты доступа >[оверквотинг удален] > > >Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе >access-list не смотрит, получается? > >В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL >List вообще отрубил - инета не стало вообще. > >Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за >понимание. Если надо пример пиши...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ACL и Nat-inside на интерфейсе"		+/–
	Сообщение от Eduard_k (ok) on 11-Авг-09, 17:13
	>Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе >access-list не смотрит, получается? Должен смотреть. Порядок обработки пакетов на интерфейсах описан в документе NAT order of operations http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ACL и Nat-inside на интерфейсе"		+/–
	Сообщение от psizo3552 (ok) on 08-Сен-09, 14:33
	Большое спасибо за ответы!! Посмотрю, проверю, попробую. Как что-нибудь определится, напишу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема