Настройка ACL на Cisco C881

@Vitaliy-K · Регистрация: 14.07.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте!

Своими силами не могу разобраться, помогите пожалуйста.

Ранее на маршрутизаторе не было ACL, все работало. Решил поменять порт ssh со стандартного, не нестандартный.

Использовал правила:

remark ---SSH---
permit tcp any host xxx.xxx.xxx.xxx eq 8463
deny tcp any host xxx.xxx.xxx.xxx eq 22
Применил их на WAN-интерфейс в направлении IN.

Правило отработало, но с данной конфигураций пропал доступ в интернет из локальной сети и половина сервисов которые использовали интернет, также перестали работать. Пробовал разные варианты настройки, но ничего не помогло. Что необходимо добавить в конфигурацию?

@Korax · 14.05.2018, 09:30

Там неявный deny any any в конце стоит
он все кроме того первого пермита зарезал
явно разрешите то, что нужно

@Vitaliy-K · 14.05.2018, 13:24 **[ТС]**

Да, про неявный запрет в конце я в курсе. Я не понимаю какие разрешения нужно дать.

Я пробовал:
permit tcp any host xxx.xxx.xxx.xxx eq www
permit tcp any host xxx.xxx.xxx.xxx eq 443

Но интернет не заработал.

@insect_87 · 18.05.2018, 11:12

Сообщение от Vitaliy-K

Я пробовал:
permit tcp any host xxx.xxx.xxx.xxx eq www
permit tcp any host xxx.xxx.xxx.xxx eq 443

направление не то

поставьте последним правилом перед неявным правило permit ip any any, а выше него конкретные разрешающие / запрещающие

@Vitaliy-K · 21.05.2018, 11:44 **[ТС]**

Про направление не понял, почему не то?
А какой смысл ставить разрешающие правила, если в конце стоит правило разрешающее все?

@insect_87 · 23.05.2018, 09:33

Сообщение от Vitaliy-K

Применил их на WAN-интерфейс в направлении IN

это входящий трафик на внешний интерфейс

Сообщение от Vitaliy-K

Про направление не понял, почему не то?

потому что не то.
Вам надо сначала запретить все, что не должно проходить снаружи, затем должно быть правило, разрешающее любой трафик снаружи

@Vitaliy-K · 23.05.2018, 09:44 **[ТС]**

Хорошо, тогда на какой интерфейс вешать правило?

@shortandy · 03.07.2018, 08:52

Утилита для проверки access-листов cisco: https://www.youtube.com/watch?v=e31Uz46AKn0

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Vitaliy-K 0 / 0 / 0 Регистрация: 14.07.2015 Сообщений: 10

	Настройка ACL на Cisco C881 13.05.2018, 12:26. Показов 1263. Ответов 7 Метки нет (Все метки) Здравствуйте! Своими силами не могу разобраться, помогите пожалуйста. Ранее на маршрутизаторе не было ACL, все работало. Решил поменять порт ssh со стандартного, не нестандартный. Использовал правила: remark ---SSH--- permit tcp any host xxx.xxx.xxx.xxx eq 8463 deny tcp any host xxx.xxx.xxx.xxx eq 22 Применил их на WAN-интерфейс в направлении IN. Правило отработало, но с данной конфигураций пропал доступ в интернет из локальной сети и половина сервисов которые использовали интернет, также перестали работать. Пробовал разные варианты настройки, но ничего не помогло. Что необходимо добавить в конфигурацию? 0

@Korax 866 / 438 / 130 Регистрация: 20.04.2014 Сообщений: 1,127
	14.05.2018, 09:30
	Там неявный deny any any в конце стоит он все кроме того первого пермита зарезал явно разрешите то, что нужно 0

@Vitaliy-K 0 / 0 / 0 Регистрация: 14.07.2015 Сообщений: 10
	14.05.2018, 13:24 [ТС]
	Да, про неявный запрет в конце я в курсе. Я не понимаю какие разрешения нужно дать. Я пробовал: permit tcp any host xxx.xxx.xxx.xxx eq www permit tcp any host xxx.xxx.xxx.xxx eq 443 Но интернет не заработал. 0

@Vitaliy-K 0 / 0 / 0 Регистрация: 14.07.2015 Сообщений: 10
	21.05.2018, 11:44 [ТС]
	Про направление не понял, почему не то? А какой смысл ставить разрешающие правила, если в конце стоит правило разрешающее все? 0

@Vitaliy-K 0 / 0 / 0 Регистрация: 14.07.2015 Сообщений: 10
	23.05.2018, 09:44 [ТС]
	Хорошо, тогда на какой интерфейс вешать правило? 0

@shortandy 0 / 0 / 0 Регистрация: 03.07.2018 Сообщений: 4
	03.07.2018, 08:52
	Утилита для проверки access-листов cisco: https://www.youtube.com/watch?v=e31Uz46AKn0 0