The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема с ACL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 14-Янв-11, 14:07 
Здравствуйте!

Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но как только применяем ACL хост теряет IP адрес и не пингует нужны хосты.

access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.1
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.2
access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
access-list 100 deny ip any any
access-list 100 deny tcp any any
access-list 100 deny udp any any

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема с ACL"  +/
Сообщение от Aleks305 (ok) on 14-Янв-11, 14:35 
>[оверквотинг удален]
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
> access-list 100 deny ip any any
> access-list 100 deny tcp any any
> access-list 100 deny udp any any

А эти строчки зачем?
access-list 100 deny tcp any any
access-list 100 deny udp any any
Вообще в конце access-list и так неявный запрет есть.
Зачем помимо правил с ip везде писать udp и tcp- это Вы типа icmp запрещаете???
Оставьте тогда только
access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
также зависит работа acl от того, насколько правильно вы его применяете к интерфейсу.

стоит вначале Вам пока почитать правила составления и работы acl

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 14-Янв-11, 15:21 
>[оверквотинг удален]
> Вообще в конце access-list и так неявный запрет есть.
> Зачем помимо правил с ip везде писать udp и tcp- это Вы
> типа icmp запрещаете???
> Оставьте тогда только
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
> также зависит работа acl от того, насколько правильно вы его применяете к
> интерфейсу.
> стоит вначале Вам пока почитать правила составления и работы acl

Насчет последних сточек, да действительно погорячились.
ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не владеем.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема с ACL"  +/
Сообщение от VolanD (ok) on 14-Янв-11, 15:24 
>[оверквотинг удален]
>> Оставьте тогда только
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
>> также зависит работа acl от того, насколько правильно вы его применяете к
>> интерфейсу.
>> стоит вначале Вам пока почитать правила составления и работы acl
> Насчет последних сточек, да действительно погорячились.
> ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не
> владеем.

Выложите полную схему сети+ конфиги. А то так совсем ничего не понятно)))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проблема с ACL"  +/
Сообщение от crash (ok) on 17-Янв-11, 05:47 
> Здравствуйте!
> Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но
> как только применяем ACL хост теряет IP адрес и не пингует
> нужны хосты.

Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение DHCP?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 17-Янв-11, 07:23 
> Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение
> DHCP?

Нет, не получает. В том то и дело. А правило проиписано по UDP.
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проблема с ACL"  +/
Сообщение от aZL on 17-Янв-11, 08:59 
Если хотите пинговать, то разрешите icmp
access-list 100 permit icmp ...


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 17-Янв-11, 11:16 
> Если хотите пинговать, то разрешите icmp
> access-list 100 permit icmp ...

Дело не в пинге. Хост почему то не получает IP-адрес.
Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp host 172.16.1.8 host 172.16.1.1


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Проблема с ACL"  +/
Сообщение от Aleks305 (ok) on 17-Янв-11, 11:22 
>> Если хотите пинговать, то разрешите icmp
>> access-list 100 permit icmp ...
> Дело не в пинге. Хост почему то не получает IP-адрес.
> Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp
> host 172.16.1.8 host 172.16.1.1

DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 17-Янв-11, 11:40 

> DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.

Так вроде DHCP использует порты UDP 67 и 68. Мы разрешили все по UDP. Контроллер на win2008, может в этом проблема?


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Проблема с ACL"  +1 +/
Сообщение от aZL on 17-Янв-11, 11:48 
permit udp any eq bootpc any eq bootpc?


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Проблема с ACL"  +1 +/
Сообщение от Aleks305 (ok) on 17-Янв-11, 11:54 
> permit udp any eq bootpc any eq bootpc?

именнно any - я же написал broadcast. Читайте про работу dhcp.
Broadcast не пройдет через правило permit ip host host

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Проблема с ACL"  +/
Сообщение от apex2009 (ok) on 17-Янв-11, 13:10 
Всем спасибо за участие! Разобрались, изменили направление ACL и все заработало. На udp прописали any (конечно осталась дыра) но хоть так и на этом хорошо.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру