| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
 Добавлено: Чт Мар 30 2006 05:35 Заголовок сообщения: настройка ACL на CISCO |
 |
|
имеем cisco 4500M
топология сети такая -
локальная сеть - прокси (2 штуки, один работает через одного прова, второй через другого, на проксях прописаны разные шлюзы) - cisco - и в самом конце идёт FreeBSD (несколько сетевых, он уже рассылает пакеты по месту назначения в зависимости от того с какой прокси придёт пакет.)
два интерфейса на циске - Eth1 (в локалку), Eth0 (наружу, он как раз втыкается в комп с FreeBSD),
на внутреннем интерфейсе Eth1 прописаны 2 айпи от разных провайдеров.....
хочу поставить access-list на внешний интерфейс Eth0 (ip access-group Eth0 in), при активизации етого acl перестают ходить пакеты на один из прокси,
в acl всё по умолчанию запрещено (deny ip any any) - открываются только нужные порты, настройки в acl одинаковые для обоих прокси серверов.....
из логов прокси (sho access-list) видно что правила разрешающие хождение пакетов на вторую проксю не используются совсем, то есть пакеты на ети правила не приходят, и при просмотре show logging видно что пакеты для 2 прокси (которая перестаёт работать) отклоняются .....
разница в самих проксях тока в том, что прокся которая перестаёт работать использет шлюз для себя который прописан на внутреннем интерфейсе циски как secondary.....
не могу понять в чём дело....
когда Acl нет на циске - всё работает прекрасно.....
могу конечно кинуть acl - но его перепроверил уже сто раз и товарищи знающие его глядели........ |
|
| Вернуться к началу |
|
 |
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Чт Мар 30 2006 06:21 Заголовок сообщения: |
|
|
проблему решил след.образом -
вместо подсети прописал конкретный айпи второй прокси - которая отказывалась работать...
для первой прокси прописано разрешение на циске на входящие пакеты (определённые) для всей подсети - и она нормально работает....
может ктонить обьяснит в чём причина? |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Чт Мар 30 2006 07:45 Заголовок сообщения: |
|
|
| не совсем понятна схема, было бы не плохо нарисовать ее и тогда уже экцес листы смотреть.. может для второй прокси сделать наоборот правила... то есть для первой получается ин и они пашут, а для второй должно быть out. но так как у вас на интерфейсе висит ин вот и не проходит, может попробовать тогда подредактировать экцес лист. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
