Форум 3DNews
Вернуться   Форум 3DNews > Железо > Сети и средства коммуникации

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 28.01.2008, 19:54   [включить плавающее окно]   #1
aristarh_pt
Мужской Новенький
Автор темы
 
Регистрация: 23.02.2007
Адрес: Portugal
вопрос по access-list

Мне в академии дали небольшое задание и вот "встрял" со списками доступа:
1. Сервер 1 и ПК 2 находятся в подсети администрирования и им разрешен доступ ко всем подсетям
2. Компьютеры в других подсетях не имеют права выходить со своих подсетей. Но им разрешен доступ к серверу.

Если взять только на примере роутера Boaz:
access-list 101 permit ip any host 192.168.21.34 - разрешает доступ к серверу
access-list 101 deny any any все остальное запрещает
и поставить это на входящий Ethernet интерфейс роутера Boaz

Однако, при попытке пингования любого хоста в сети Boaz (192.168.21.64 /27) из сети администрированния, пакеты проходят через роутер , но обратно список доступа их не пускает. Так что-же надо вставить во второй строке access-list 101 ?
Миниатюры
Нажмите на изображение для увеличения
Название: plan_thumb.jpg
Просмотров: 415
Размер:	24.1 Кб
ID:	24464  
aristarh_pt вне форума  
Ответить с цитированием
Непрочитано 28.01.2008, 23:34   [включить плавающее окно]   #2
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (aristarh_pt) »
Однако, при попытке пингования любого хоста в сети Boaz (192.168.21.64 /27) из сети администрированния, пакеты проходят через роутер , но обратно список доступа их не пускает. Так что-же надо вставить во второй строке access-list 101 ?
сначала скажи, на какой интерфейс и в каком направлении повешен acl 101;
также -- правило deny all прописывать не нужно, т.к. оно создаётся автоматически
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 29.01.2008, 01:29   [включить плавающее окно]   #3
aristarh_pt
Мужской Новенький
Автор темы
 
Регистрация: 23.02.2007
Адрес: Portugal
ну я список установил на ethernet роутера Boaz(192.168.21.65 /27) inbound. Как там учат: расширенные списки нужно устанавливать как можно ближе к отправителю. И если первой строкой разрешается пропуск любых IP пакетов из внутренней сети(192.168.21.64 /27) адресованных лишь серверу, то как разрешить пропуск эхо-ответов , когда сервер будет пинговать эту же сеть(192.168.21.64 /27) ? Я так полагаю!! что можно разрешить пропуск на сеть администрирования icmp пакетов echo-reply, но какой командой ? Во всех книгах лишь поверхностные объяснения, к сожалению.
aristarh_pt вне форума  
Ответить с цитированием
Непрочитано 29.01.2008, 14:17   [включить плавающее окно]   #4
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (aristarh_pt) »
ну я список установил на ethernet роутера Boaz(192.168.21.65 /27) inbound.
пожалуй ошибка с направлением -- измени направление на out
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 29.01.2008, 17:04   [включить плавающее окно]   #5
aristarh_pt
Мужской Новенький
Автор темы
 
Регистрация: 23.02.2007
Адрес: Portugal
Тут в чем подвох: предположим что есть две сети подсоединенных через роутер, и надо придумать список доступа разрешающий хостам сети 1 доступ к хостам сети 2, но в тоже время запрещающий хостам сети 2 доступ к хостам сети 1

Но все равно спасибо. Этот форум самый лучший- всегда ответят . Я бы получил больше информации на спец.форумах по CISCO , но там могут и через пол-года ответить.
aristarh_pt вне форума  
Ответить с цитированием
Непрочитано 29.01.2008, 23:57   [включить плавающее окно]   #6
Гхост-цзы
Мужской Умудрённый
 
Аватар для Гхост-цзы
 
Регистрация: 04.06.2004
Цитата (aristarh_pt) »
Тут в чем подвох: предположим что есть две сети подсоединенных через роутер, и надо придумать список доступа разрешающий хостам сети 1 доступ к хостам сети 2, но в тоже время запрещающий хостам сети 2 доступ к хостам сети 1
не проблема; пусть сеть 1 -- 192.168.21.64/27, а сеть 2 -- 192.168.21.96/27 из твоей схемы;
тогда вариант acl
access-list 102 permit tcp 192.168.21.96 0.0.0.31 192.168.21.64 0.0.0.31 established
access-list 102 deny tcp 192.168.21.96 0.0.0.31 192.168.21.64 0.0.0.31
и вешаем этот acl на вход роутера Boaz
conf t
int s0
ip access-group 102 in
__________________
Крылья знаний меня от людей отлучили,
Я увидел, что люди - подобие пыли.
Гхост-цзы вне форума  
Ответить с цитированием
Непрочитано 30.01.2008, 12:29   [включить плавающее окно]   #7
aristarh_pt
Мужской Новенький
Автор темы
 
Регистрация: 23.02.2007
Адрес: Portugal
access-list 102 permit tcp 192.168.21.96 0.0.0.31 192.168.21.64 0.0.0.31 established
Я пробовал эту строку, но симулятор (Bosson Net Sim v.6) не принимает ее, выдает ошибку при введении, вот я и подумал , что это не верно. Хотя понятно, что он уступает аппаратному собрату, но такое как Списки доступа можно было бы получше продумать. Спасибо Гхост-цзы , теперь буду проситься в лабораторию для проверки.
aristarh_pt вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:50. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey