Re: NAT and access-lists problem

Отправлено: Frob on September 29, 1999 at 13:16:41:

В ответ на: Re: NAT and access-lists problem posted by Konstantin Gribakh on September 29, 1999 at 13:05:16:

> Мнэ...
> -> ip access-group 101 in
> Если это так, то не только ICQ не будет работать...
Why бы not?
> Весь этот access-list можно переписать как
> access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established
> access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023
> access-list 101 permit tcp any eq ftp-data any gt 1023
> access-list 101 permit icmp any any
> access-list 101 deny ip any any log
Ну, наверное в исходном варианте последняя строка была permit,
иначе блокировать спуферов бессмысленно, тут Вы совершенно правы.

> И насчет открытия портов тоже бы призадумался...
> Вопрос вот в чем: а что Вы хотите получить от этого access-list'a ?
> ICQ только established недостаточно... Ей бы еще и работать с этими
> портами....
Вот и я о том же...
А от ACL видимо ожидалась могучая безопасность :-)

Отклики:

• Re: NAT and access-lists problem Konstantin Gribakh 14:01:38 9/29/99 (0)

Написать ответ