https://www.opennet.ru/openforum/vsluhforumID6/19446.html Добрый день и ночь всем!!<br>Есть маршрутизатор со следующей прошивкой "c1841-adventerprisek9-mz.124-15". Один интерфейс подключен к интернету, имеет статический ип. Второй интерфейс смотрит во внутреннюю сеть, куда по DHCP раздаются адреса. Необходимо организовать доступ для станций из внутренней сети в интернет через overload внешнего интерфейса. В то же время интернет должен быть зарезан, т. е. октрыты сугубо определенные ресурсы. <br>Сначала пытался сделать ограничение на доступ, повесив на вход внутреннего интерфейса acl-ку. Но успех имел место весьма сомнительный.<br><br>interface FastEthernet0/0 // внешний интерфейс<br> ip address AAA.AAA.AAA.AAA MMM.MMM.MMM.MMM<br> ip nat outside<br> ip virtual-reassembly<br> no ip mroute-cache<br> duplex auto<br> speed auto<br><br>interface FastEthernet0/1<br> ip address 172.16.166.1 255.255.255.0<br> ip access-group List in<br> ip nat inside<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br><br>ip nat inside source list NAT interface FastEthernet0/0 overload<br><br>ip access-list extended NAT https://www.opennet.ru/openforum/vsluhforumID6/19446.html#3 Tue, 08 Sep 2009 10:33:55 GMT Большое спасибо за ответы!! Посмотрю, проверю, попробую. Как что-нибудь определится, напишу.<br> https://www.opennet.ru/openforum/vsluhforumID6/19446.html#2 Tue, 11 Aug 2009 13:13:58 GMT &gt;Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе<br>&gt;access-list не смотрит, получается? <br><br>Должен смотреть. <br>Порядок обработки пакетов на интерфейсах описан в документе NAT order of operations<br>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br> https://www.opennet.ru/openforum/vsluhforumID6/19446.html#1 Tue, 11 Aug 2009 08:31:54 GMT &gt;<br>&gt;<br>&gt;interface FastEthernet0/1 <br>&gt; ip address 172.16.166.1 255.255.255.0 <br>&gt; ip access-group List in <br><br>Это убираем!<br>&gt; ip nat inside <br>&gt; ip virtual-reassembly <br>&gt; duplex auto <br>&gt; speed auto <br>&gt;<br>&gt;ip nat inside source list NAT interface FastEthernet0/0 overload <br><br>строчка вида : ip nat inside sourse list List interface Fa0/0 overload<br>&gt;<br>&gt;ip access-list extended NAT <br>&gt; permit ip 172.16.166.0 0.0.0.255 any <br><br>И эти 2 строчки убираем<br>&gt;ip access-list extended List <br><br>Тут правила доступа вида<br>permit ip host 172.16.166.2 host XX.XX.XX.XX <br>если надо указываем порты доступа<br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;<br>&gt;Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе <br>&gt;access-list не смотрит, получается? <br>&gt;<br>&gt;В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL <br>&gt;List вообще отрубил - инета не стало вообще. <br>&gt;<br>&gt;Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за <br>&gt;понимание. <br><br>Если надо пример пиши...<br>