Архив форумов ЦИТФорума

[Old_Den]

ip access-list extended From_Internet
permit ip host 195.85.55.245 any
permit gre host 195.85.55.245 any
permit ip 192.168.1.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip any 192.168.0.0 0.0.255.255
deny ip 10.1.0.0 0.0.255.255 any
permit tcp any 10.1.0.0 0.0.255.255 established
permit tcp any 10.1.0.0 0.0.255.255 gt 1200
permit icmp any 10.1.0.0 0.0.255.255 echo-reply
permit udp host 195.85.55.235 eq domain 10.1.0.0 0.0.255.255
deny ip any any log


Что получится, если прописать такой акцесс лист на внешнем интерфейсе интернет-роутера? Ответ хотелось бы в виде: "с инета можно туда-то и туда-то по таким-то протоколам, с такого-то внутреннего IP можно туда-то и туда-то по таким-то протоколам"
Буду очень благодарен за помощь.

[crash]

у тебя можно ходить по всем порта по tcp (там где permit) там где deny понятно запрещено.
permit ip host 195.85.55.245 any
с хоста 195.85.55.245 куда угодно, по всем протоколам и всем портам

permit ip 192.168.1.0 0.0.0.255 any
по всем протоколам с сетки 192.168.1.0 куда угодно.
но вот только трафик из инета, так что я пока не поймузачем ты это правила добавил.

1. deny ip 192.168.0.0 0.0.255.255 any
2. deny ip any 192.168.0.0 0.0.255.255
3. deny ip 10.1.0.0 0.0.255.255 any
здесь ты запрещаешь..

permit tcp any 10.1.0.0 0.0.255.255 established
разрешаешь по tcp соединение отовсюду в сеть 10.1. выше портов 1024, ИМХО

permit tcp any 10.1.0.0 0.0.255.255 gt 1200
разрешить по tcp отовсюду в четь 10.1 по порту больше 1200.

permit udp host 195.85.55.235 eq domain 10.1.0.0 0.0.255.255
разрешить udp с 195.85.55.235 по порту 53 в сеть 10.1