Re: NAT and access-lists problem

Тема:

Ваше сообщение:
> > > Мнэ... > > > -> ip access-group 101 in > > > Если это так, то не только ICQ не будет работать... > > Why бы not? > В совокупности с изначальным листом? Because... :) > > > Весь этот access-list можно переписать как > > > access-list 101 permit tcp any 195.xxx.xxx.xxx 0.0.0.15 gt 1023 established > > > access-list 101 permit udp any eq domain 195.xxx.xxx.xxx 0.0.0.15 gt 1023 > > > access-list 101 permit tcp any eq ftp-data any gt 1023 > > > access-list 101 permit icmp any any > > > access-list 101 deny ip any any log > > Ну, наверное в исходном варианте последняя строка была permit, > > иначе блокировать спуферов бессмысленно, тут Вы совершенно правы. > > > И насчет открытия портов тоже бы призадумался... > > > Вопрос вот в чем: а что Вы хотите получить от этого access-list'a ? > > > ICQ только established недостаточно... Ей бы еще и работать с этими > > > портами.... > > Вот и я о том же... > > А от ACL видимо ожидалась могучая безопасность :-)

Optional Link URL:
Link Title:
Optional Image URL: