Re: ACL trouble!

Отправлено: Ильин Александр on August 26, 1999 at 11:32:35:

В ответ на: ACL trouble! posted by OldMan on August 26, 1999 at 05:02:21:

> Есть Циска смотрящая наружу (т.е. в Инет)через S0 int. и есть диалапщики, которые юзают этот самый Инет. Необходимо некоторым пользователям предоставить доступ только на POP3 и SMTP закрыв все остальное.
> Сие решено через создание в Такаксе 2-х групп (одна без всяких ограничений и другая - с вышеназванными ограничениями). На вторую группу распространяетсмя средствами Такакса ACL приведенный ниже, первая же группа не имеет никаких ограничений и фильтров. Проблемма в том, что вторая группа получает _полный_ отлуп по всем портам, то есть юзер входит - и ничего не видит, ни почты, ни www c ftp.
> Подскажите, где ошибка при прописании ACL?

> access-list 101 permit tcp any a.b.c.00 0.0.0.255 established

а зачем это для исходящих пакетов (out)?

> access-list 101 permit tcp any any eq pop3
> access-list 101 permit tcp any any eq smtp
> access-list 101 permit tcp any any eq domain
> access-list 102 permit udp any any eq domain
^^^
здесь опечатка или как?

> access-list 101 permit icmp any any echo
> a.b.c.d - моя сеть, откуда диалапщики получают динамический IP.

> На S0 interface прописано:
> ip access-group 101 out

> Что я делаю не так?

Влючите отладку на список.

Отклики:

Написать ответ

Ваше имя:
E-Mail:

Тема:

Ваше сообщение:
> > Есть Циска смотрящая наружу (т.е. в Инет)через S0 int. и есть диалапщики, которые юзают этот самый Инет. Необходимо некоторым пользователям предоставить доступ только на POP3 и SMTP закрыв все остальное. > > Сие решено через создание в Такаксе 2-х групп (одна без всяких ограничений и другая - с вышеназванными ограничениями). На вторую группу распространяетсмя средствами Такакса ACL приведенный ниже, первая же группа не имеет никаких ограничений и фильтров. Проблемма в том, что вторая группа получает _полный_ отлуп по всем портам, то есть юзер входит - и ничего не видит, ни почты, ни www c ftp. > > Подскажите, где ошибка при прописании ACL? > > access-list 101 permit tcp any a.b.c.00 0.0.0.255 established > а зачем это для исходящих пакетов (out)? > > access-list 101 permit tcp any any eq pop3 > > access-list 101 permit tcp any any eq smtp > > access-list 101 permit tcp any any eq domain > > access-list 102 permit udp any any eq domain > ^^^ > здесь опечатка или как? > > access-list 101 permit icmp any any echo > > a.b.c.d - моя сеть, откуда диалапщики получают динамический IP. > > На S0 interface прописано: > > ip access-group 101 out > > Что я делаю не так? > Влючите отладку на список.

Optional Link URL:
Link Title:
Optional Image URL:

E-mail: sales@comptek.ru tel: (095) 785-2525