Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.58/12: Рейтинг темы: голосов - 12, средняя оценка - 4.58
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
1

ACL не срабатывает

25.06.2013, 11:49. Просмотров 2305. Ответов 27
Метки нет (Все метки)

вобщем создал я список пита extended в нем прописал что разрешено на сеть, при включении на интерфейс ничего не доступно, внутренняя сеть - 192.168.0.0/21...что не так?

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
interface GigabitEthernet0/1 - физический линк от провайдера
 description INTERNET
 no ip address
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no keepalive
 no cdp enable
!
interface GigabitEthernet0/2 - внутренняя сеть 
 description LAN
 ip address 192.168.0.1 255.255.0.0 - 16 маска нужна потому как есть адреса выходящие за пределы 21
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Dialer1
 ip address negotiated
 ip access-group 112 in - сюда начинаю вешать ip access-list extended list и все валится
 ip mtu 1492
 ip nat outside
 no ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname name
 ppp chap password 0 ASwdasw
 ppp pap sent-username name password 0 sdfwewq
 no cdp enable
!
 
!
ip forward-protocol nd
!
 
!
ip nat translation timeout 600
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 60
ip nat translation dns-timeout 10
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation port-timeout tcp 8080 20
ip nat translation port-timeout tcp 80 20
ip nat translation max-entries all-host 300
ip nat inside source list 10 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended list
 permit tcp 192.168.0.0 0.0.7.255 any eq www
 permit tcp 192.168.0.0 0.0.7.255 any eq 87
 permit tcp 192.168.0.0 0.0.7.255 any eq pop3
 permit tcp 192.168.0.0 0.0.7.255 any eq smtp
 permit tcp 192.168.0.0 0.0.7.255 any eq telnet
 permit tcp 192.168.0.0 0.0.7.255 any eq ftp
 permit tcp 192.168.0.0 0.0.7.255 any eq 8080
 permit tcp 192.168.0.0 0.0.7.255 any eq 443
 permit tcp 192.168.0.0 0.0.7.255 any eq domain
 permit tcp 192.168.0.0 0.0.7.255 any eq 5190
 permit tcp 192.168.0.0 0.0.7.255 any eq 8110
 permit tcp 192.168.0.0 0.0.7.255 any eq 139
 permit tcp 192.168.0.0 0.0.7.255 any eq 445
 permit udp 192.168.0.0 0.0.7.255 any eq 80
 permit udp 192.168.0.0 0.0.7.255 any eq 87
 permit udp 192.168.0.0 0.0.7.255 any eq 110
 permit udp 192.168.0.0 0.0.7.255 any eq 25
 permit udp 192.168.0.0 0.0.7.255 any eq 23
 permit udp 192.168.0.0 0.0.7.255 any eq 21
 permit udp 192.168.0.0 0.0.7.255 any eq 8080
 permit udp 192.168.0.0 0.0.7.255 any eq 443
 permit udp 192.168.0.0 0.0.7.255 any eq domain
 permit udp 192.168.0.0 0.0.7.255 any eq 5190
 permit udp 192.168.0.0 0.0.7.255 any eq 8110
 permit udp 192.168.0.0 0.0.7.255 any eq netbios-ss
 permit udp 192.168.0.0 0.0.7.255 any eq 445
 deny   ip any any
!
access-list 10 permit 192.168.0.0 0.0.255.255
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 112 permit tcp any any
access-list 112 permit udp any any
access-list 112 permit icmp any any
access-list 112 permit 25 any any
access-list 112 permit 110 any any
access-list 113 permit tcp 192.168.0.0 0.0.7.255 any eq www
dialer-list 1 protocol ip permit
!
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
25.06.2013, 11:49
Ответы с готовыми решениями:

Не срабатывает ACL
Доброго времени суток. Хочу запретить пинг с R1, но не выходит, что не так? ...

Не срабатывает входящий Acl Cisco
Доброго времени суток. Есть простая схема. Проблема в том что не срабатывают...

VLAN + ACL
Приветствую всех, только начинаю изучать циску. Собрал простейшую схемку, для...

VLAN и ACL
Всем привет. У меня есть три подсети на 5 свичей : 10.0.0.0/24 11.0.0.0/24...

Разработка ACL
Всем привет! На коммутаторах в сети, которую я обслуживаю, моим...

27
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 12:08 2
Цитата Сообщение от kycik Посмотреть сообщение
access-list 113 permit tcp 192.168.0.0 0.0.7.255 any eq www
а запросы на этот Dialer приходят с сорсом из сети 192.168.0.0/21?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 14:56  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
а запросы на этот Dialer приходят с дестинейшеном из сети 192.168.0.0/21?
не понял сути...вот настройки у клиента
IP адресс - 192.168.7.1
шлюз по умолчанию - 192.168.0.1
первичный DNS - 192.168.0.3
вторичный - 85.112.26.3 - dns провайдера
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 15:36 4
ну вот у Вас на Dialer0 применен ACL на входящий трафик, верно?
в аксес листе разрешены запросы от 192.168.0.0/21 на любой адрес по порту 80.

почему вы разрешаете запросы от 192.168.0.0/21, если 192.168.0.0/21 - это Ваша внутренняя сеть?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 15:55  [ТС] 5
Цитата Сообщение от Jabbson Посмотреть сообщение
почему вы разрешаете запросы от 192.168.0.0/21, если 192.168.0.0/21 - это Ваша внутренняя сеть?
ну для того что бы дать доступ к сети на внешку разве не клиент запрашивает соединение на сервер? Или указывать сам роутер? мы я так понимаю про 113 ACL говорим?

Цитата Сообщение от Jabbson Посмотреть сообщение
access-list 113 permit tcp 192.168.0.0 0.0.7.255 any eq www
вначале же указывается протокол, откуда,куда и что слать...
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 16:00 6
Цитата Сообщение от kycik Посмотреть сообщение
вначале же указывается протокол, откуда,куда и что слать...
да, именно. вот у Вас:

откуда = 192.168.0.0/21
куда/адрес = any
куда/протокол = www

и тем не менее, вначале Вы говорили, что 192.168.0.0/21 - это Ваша внутренняя сеть. Так внутренняя или извне приходит?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 16:05  [ТС] 7
Цитата Сообщение от Jabbson Посмотреть сообщение
192.168.0.0/21 - это Ваша внутренняя сеть
внутренняя
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 16:39 8
а почему на дайлере ACL ловит входящие пакеты из этой сети, если она внутренняя?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 16:46  [ТС] 9
Цитата Сообщение от Jabbson Посмотреть сообщение
а почему на дайлере ACL ловит входящие пакеты из этой сети, если она внутренняя?
извините я совсем запутался, тогда как должен выглядеть acl? вроде как на дайлере он ловит с внутренней на внешку и согласно 113 разрешает ему на any eq www
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 17:00 10
почему он ловит из внутреней во внешнюю? вовсе нет.
подумайте, что значит in и out.
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 17:17  [ТС] 11
Цитата Сообщение от Jabbson Посмотреть сообщение
подумайте, что значит in и out
ну...
in: входящее направление
out: исходящее направление
мне на диалере нужно out ставить? я то же так думал :-) так то же не работает...
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 17:24 12
хорошо, а как вы проверяете, что не работает?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 17:26  [ТС] 13
с клиента страницы пытался грузить
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 17:44 14
а для того, чтобы открыть страницу, что еще нужно, кроме www?
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 17:52  [ТС] 15
разрешить другие порты? 53,8080,...и может разрешить входящие(внутренние) порты(порты на который принимает сам браузер) на внутренню сеть.
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 18:05 16
конечно, днс
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 18:13  [ТС] 17
Цитата Сообщение от Jabbson Посмотреть сообщение
конечно, днс
так я создал extended где прописал порты, потом я вешаю на диалер ip access-group list out....
по идее все должно работать?...если в этот список добавляю icmp any any то пингуется след-но access list работает, но страницы не грузятся...

ip access-list extended list
permit tcp 192.168.0.0 0.0.7.255 any eq www
permit tcp 192.168.0.0 0.0.7.255 any eq 87
permit tcp 192.168.0.0 0.0.7.255 any eq pop3
permit tcp 192.168.0.0 0.0.7.255 any eq smtp
permit tcp 192.168.0.0 0.0.7.255 any eq telnet
permit tcp 192.168.0.0 0.0.7.255 any eq ftp
permit tcp 192.168.0.0 0.0.7.255 any eq 8080
permit tcp 192.168.0.0 0.0.7.255 any eq 443
permit tcp 192.168.0.0 0.0.7.255 any eq domain
permit tcp 192.168.0.0 0.0.7.255 any eq 5190
permit tcp 192.168.0.0 0.0.7.255 any eq 8110
permit tcp 192.168.0.0 0.0.7.255 any eq 139
permit tcp 192.168.0.0 0.0.7.255 any eq 445
permit udp 192.168.0.0 0.0.7.255 any eq 80
permit udp 192.168.0.0 0.0.7.255 any eq 87
permit udp 192.168.0.0 0.0.7.255 any eq 110
permit udp 192.168.0.0 0.0.7.255 any eq 25
permit udp 192.168.0.0 0.0.7.255 any eq 23
permit udp 192.168.0.0 0.0.7.255 any eq 21
permit udp 192.168.0.0 0.0.7.255 any eq 8080
permit udp 192.168.0.0 0.0.7.255 any eq 443
permit udp 192.168.0.0 0.0.7.255 any eq domain
permit udp 192.168.0.0 0.0.7.255 any eq 5190
permit udp 192.168.0.0 0.0.7.255 any eq 8110
permit udp 192.168.0.0 0.0.7.255 any eq netbios-ss
permit udp 192.168.0.0 0.0.7.255 any eq 445
deny ip any any
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 18:16 18
вместо deny ip any any напишите deny ip any any log
и посмотрите, что именно блокируется в логе.
0
kycik
0 / 0 / 0
Регистрация: 04.06.2013
Сообщений: 112
25.06.2013, 18:28  [ТС] 19
Цитата Сообщение от Jabbson Посмотреть сообщение
deny ip any any log
вот что вывел
C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
 
No Active Message Discriminator.
 
 
 
No Inactive Message Discriminator.
 
 
    Console logging: level debugging, 142 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 142 messages logged, xml disabled,
                    filtering disabled
    Exception Logging: size (8192 bytes)
    Count and timestamp logging messages: disabled
    Persistent logging: disabled
 
No active filter modules.
 
    Trap logging: level informational, 142 message lines logged
        Logging Source-Interface:       VRF Name:
 
Log Buffer (8192 bytes):
ied tcp 85.xx.xx.xx(60415) -> 87.240.131.99(80), 1 packet
*Jun 25 14:22:48.645: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx2976) -> 67.228.177.237(80), 1 packet
*Jun 25 14:22:49.645: %SEC-6-IPACCESSLOGP: list list denied udp 85.xx.xx.xx(53030) -> 85.113.128.131(53), 1 packet
*Jun 25 14:22:50.649: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(60421) -> 87.240.131.119(80), 1 packet
*Jun 25 14:22:51.661: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(60425) -> 87.240.131.119(80), 1 packet
*Jun 25 14:22:52.669: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(60401) -> 87.240.182.185(80), 1 packet
*Jun 25 14:22:53.589: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 3692 packets
*Jun 25 14:22:53.669: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(49267) -> 87.240.131.101(80), 1 packet
*Jun 25 14:22:54.685: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(49264) -> 213.180.193.82(80), 1 packet
*Jun 25 14:22:55.689: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(60377) -> 17.149.32.38(5223), 1 packet
*Jun 25 14:22:56.689: %SEC-6-IPACCESSLOGP: list list denied tcp 85.xx.xx.xx(1752) -> 188.93.63.160(80), 1 packet
*Jun 25 14:22:57.705: %SEC-6-IPACCESSLOGP: list list denied udp 85.xx.xx.xx(51699) -> 85.113.128.131(53), 1 packet
он их дропает c внешнего ip ...на диалер вешал как out, как разрешить ума не дам адрес не статический.
0
Jabbson
Эксперт по компьютерным сетям
3353 / 2427 / 746
Регистрация: 03.11.2009
Сообщений: 7,759
Записей в блоге: 3
25.06.2013, 18:33 20
сказать или сами подумаете, смотря в лог?
0
25.06.2013, 18:33
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
25.06.2013, 18:33

AAA и ACL
Здравствуйте. Лажу по интернету и никак не могу понять. Можно ли AAA...

ACL списки
Здравствуйте.По первому заданию сделала 76%, не знаю как до делать,чтоб было...

Маршрутизатор с ACL
Подскажите пожалуйста недорогой маршрутизатор с возможностью управления...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru