Re: NAT and access-lists problem

Отправлено: Konstantin Gribakh on September 29, 1999 at 13:05:16:

В ответ на: Re: NAT and access-lists problem posted by Valek on September 28, 1999 at 10:58:13:

> > Для начала, хорошо бы посмотреть на существующую конфигурацию.
> Ugu...

Мнэ...
-> ip access-group 101 in

Если это так, то не только ICQ не будет работать...
Весь этот access-list можно переписать как

access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established
access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023
access-list 101 permit tcp any eq ftp-data any gt 1023
access-list 101 permit icmp any any
access-list 101 deny ip any any log

И насчет открытия портов тоже бы призадумался...
Вопрос вот в чем: а что Вы хотите получить от этого access-list'a ?
ICQ только established недостаточно... Ей бы еще и работать с этими
портами....

> Mne ne nravitsja "established" v 13 stroke, Olga ne soglasna...

> ip nat translation timeout 10000
> ip nat pool user-guard 195.xxx.xxx.xxx 195.xxx.xxx.yyy netmask 255.255.255.240
> ip nat inside source list 1 pool user-guard overload

> interface Ethernet0
> ip address 192.168.xxx.xxx 255.255.255.0
> ip nat inside

> interface Serial0.1
> ip address 195.aaa.bbb.ccc 255.255.255.252
> ip access-group 101 in
> ip nat outside

> access-list 101 deny ip 192.168.0.0 0.0.255.255 any log
> access-list 101 deny ip 172.16.0.0 0.15.255.255 any log
> access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
> access-list 101 deny ip any 192.168.0.0 0.0.255.255 log
> access-list 101 deny ip any 172.16.0.0 0.15.255.255 log
> access-list 101 deny ip any 10.0.0.0 0.255.255.255 log
> access-list 101 deny ip 127.0.0.0 0.255.255.255 any log
> access-list 101 deny ip 255.0.0.0 0.255.255.255 any log
> access-list 101 deny ip 224.0.0.0 15.255.255.255 any log
> access-list 101 deny ip host 0.0.0.0 any log
> access-list 101 deny ip 195.xxx.xxx.xxx 0.0.0.15 any log
> access-list 101 deny ip host 195.aaa.bbb.ccc any log
> access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established
> access-list 101 permit udp any eq 4000 195.xxx.xxx.xxx 0.0.0.15 gt 1023
> access-list 101 deny tcp any any range 2000 2003 log
> access-list 101 deny tcp any any range 6000 6003 log
> access-list 101 deny tcp any any eq 2049
> access-list 101 deny udp any any eq 204
> access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023
> access-list 101 permit tcp any eq ftp-data any gt 1023
> access-list 101 permit icmp any any
> access-list 101 deny ip any any log

Отклики:

Re: NAT and access-lists problem Frob 13:16:41 9/29/99 (1)
- Re: NAT and access-lists problem Konstantin Gribakh 14:01:38 9/29/99 (0)

Написать ответ

Ваше имя:
E-Mail:

Тема:

Ваше сообщение:
> > > Для начала, хорошо бы посмотреть на существующую конфигурацию. > > Ugu... > Мнэ... > -> ip access-group 101 in > Если это так, то не только ICQ не будет работать... > Весь этот access-list можно переписать как > access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established > access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023 > access-list 101 permit tcp any eq ftp-data any gt 1023 > access-list 101 permit icmp any any > access-list 101 deny ip any any log > И насчет открытия портов тоже бы призадумался... > Вопрос вот в чем: а что Вы хотите получить от этого access-list'a ? > ICQ только established недостаточно... Ей бы еще и работать с этими > портами.... > > Mne ne nravitsja "established" v 13 stroke, Olga ne soglasna... > > ip nat translation timeout 10000 > > ip nat pool user-guard 195.xxx.xxx.xxx 195.xxx.xxx.yyy netmask 255.255.255.240 > > ip nat inside source list 1 pool user-guard overload > > interface Ethernet0 > > ip address 192.168.xxx.xxx 255.255.255.0 > > ip nat inside > > interface Serial0.1 > > ip address 195.aaa.bbb.ccc 255.255.255.252 > > ip access-group 101 in > > ip nat outside > > access-list 101 deny ip 192.168.0.0 0.0.255.255 any log > > access-list 101 deny ip 172.16.0.0 0.15.255.255 any log > > access-list 101 deny ip 10.0.0.0 0.255.255.255 any log > > access-list 101 deny ip any 192.168.0.0 0.0.255.255 log > > access-list 101 deny ip any 172.16.0.0 0.15.255.255 log > > access-list 101 deny ip any 10.0.0.0 0.255.255.255 log > > access-list 101 deny ip 127.0.0.0 0.255.255.255 any log > > access-list 101 deny ip 255.0.0.0 0.255.255.255 any log > > access-list 101 deny ip 224.0.0.0 15.255.255.255 any log > > access-list 101 deny ip host 0.0.0.0 any log > > access-list 101 deny ip 195.xxx.xxx.xxx 0.0.0.15 any log > > access-list 101 deny ip host 195.aaa.bbb.ccc any log > > access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established > > access-list 101 permit udp any eq 4000 195.xxx.xxx.xxx 0.0.0.15 gt 1023 > > access-list 101 deny tcp any any range 2000 2003 log > > access-list 101 deny tcp any any range 6000 6003 log > > access-list 101 deny tcp any any eq 2049 > > access-list 101 deny udp any any eq 204 > > access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023 > > access-list 101 permit tcp any eq ftp-data any gt 1023 > > access-list 101 permit icmp any any > > access-list 101 deny ip any any log

Optional Link URL:
Link Title:
Optional Image URL:

E-mail: sales@comptek.ru tel: (095) 785-2525