Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Old_Den Гость
|
Добавлено: Пн Июл 21 2003 14:36 Заголовок сообщения: Проконсультируйте по Access List (+) |
|
|
ip access-list extended From_Internet permit ip host 195.85.55.245 any permit gre host 195.85.55.245 any permit ip 192.168.1.0 0.0.0.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 deny ip 10.1.0.0 0.0.255.255 any permit tcp any 10.1.0.0 0.0.255.255 established permit tcp any 10.1.0.0 0.0.255.255 gt 1200 permit icmp any 10.1.0.0 0.0.255.255 echo-reply permit udp host 195.85.55.235 eq domain 10.1.0.0 0.0.255.255 deny ip any any log
Что получится, если прописать такой акцесс лист на внешнем интерфейсе интернет-роутера? Ответ хотелось бы в виде: "с инета можно туда-то и туда-то по таким-то протоколам, с такого-то внутреннего IP можно туда-то и туда-то по таким-то протоколам" Буду очень благодарен за помощь. |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Вт Июл 22 2003 02:18 Заголовок сообщения: Re: Проконсультируйте по Access List (+) |
|
|
у тебя можно ходить по всем порта по tcp (там где permit) там где deny понятно запрещено. permit ip host 195.85.55.245 any с хоста 195.85.55.245 куда угодно, по всем протоколам и всем портам
permit ip 192.168.1.0 0.0.0.255 any по всем протоколам с сетки 192.168.1.0 куда угодно. но вот только трафик из инета, так что я пока не поймузачем ты это правила добавил.
1. deny ip 192.168.0.0 0.0.255.255 any 2. deny ip any 192.168.0.0 0.0.255.255 3. deny ip 10.1.0.0 0.0.255.255 any здесь ты запрещаешь..
permit tcp any 10.1.0.0 0.0.255.255 established разрешаешь по tcp соединение отовсюду в сеть 10.1. выше портов 1024, ИМХО
permit tcp any 10.1.0.0 0.0.255.255 gt 1200 разрешить по tcp отовсюду в четь 10.1 по порту больше 1200.
permit udp host 195.85.55.235 eq domain 10.1.0.0 0.0.255.255 разрешить udp с 195.85.55.235 по порту 53 в сеть 10.1 |
|
Вернуться к началу |
|
|
|