https://opennet.ru/openforum/vsluhforumID6/21826.html Добрый день<br><br>Есть cisco 2811 хочу ограничить трафик из LAN в Инет<br><br><br>interface FastEthernet0/0<br> description ISP <br> ip address ISP_IP 255.255.255.252<br> ip access-group DENY in<br> ip access-group DENY-out out<br> ip nat outside<br> ip inspect FW out<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br> no cdp enable<br><br><br>sh access-lists DENY-out<br>Extended IP access list DENY-out<br> 10 permit ip host 10.35.18.11 host 213.180.204.3<br> 11 permit ip host 10.35.18.11 host 74.125.87.99<br> 20 deny ip host 10.35.18.11 any <br> ....<br> 90 permit ip any any<br><br><br>Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем проблема может быть ?<br> https://opennet.ru/openforum/vsluhforumID6/21826.html#5 Wed, 10 Nov 2010 21:12:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 192.168.1.11:4365 192.168.1.11:4365<br>&gt;&gt;&gt; Как так? При чем как Вы видите часть адресов серые ..<br>&gt;&gt; Так покажите настройки NAT<br>&gt; ip access-list extended NAT<br>&gt; permit ip host 10.35.18.11 host 213.180.204.3<br>&gt; permit ip host 10.35.18.11 host 74.125.87.99<br>&gt; route-map NAT permit10<br>&gt; match ip address NAT<br>&gt; match interface FastEthernet0/0<br>&gt; ip nat inside source route-map NAT interface FastEthernet0/0 overload<br><br>Зачем тебе с роутмапом городить конструкцию, да еще match interface FastEthernet0/0 зачем то в него засунул.<br>Через ACL определи кого натить, его (ACL) и вставляй в нат.<br> https://opennet.ru/openforum/vsluhforumID6/21826.html#4 Wed, 27 Oct 2010 11:47:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; tcp ISP_IP:16 10.35.18.11:139 <br>&gt;&gt; 192.168.1.11:3106 192.168.1.11:3106<br>&gt;&gt; tcp ISP_IP:1 10.35.18.11:139 <br>&gt;&gt; 192.168.1.11:4073 192.168.1.11:4073<br>&gt;&gt; tcp ISP_IP:2 10.35.18.11:139 <br>&gt;&gt; 192.168.1.11:4171 192.168.1.11:4171<br>&gt;&gt; tcp ISP_IP:8 10.35.18.11:139 <br>&gt;&gt; 192.168.1.11:4365 192.168.1.11:4365<br>&gt;&gt; Как так? При чем как Вы видите часть адресов серые ..<br>&gt; Так покажите настройки NAT<br><br>ip access-list extended NAT<br>permit ip host 10.35.18.11 host 213.180.204.3<br>permit ip host 10.35.18.11 host 74.125.87.99<br><br>route-map NAT permit10<br>match ip address NAT<br>match interface FastEthernet0/0<br><br><br>ip nat inside source route-map NAT interface FastEthernet0/0 overload<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/21826.html#3 Wed, 27 Oct 2010 10:12:45 GMT &gt;[оверквотинг удален]<br>&gt; 192.168.1.11:3005 192.168.1.11:3005<br>&gt; tcp ISP_IP:16 10.35.18.11:139 <br>&gt; 192.168.1.11:3106 192.168.1.11:3106<br>&gt; tcp ISP_IP:1 10.35.18.11:139 <br>&gt; 192.168.1.11:4073 192.168.1.11:4073<br>&gt; tcp ISP_IP:2 10.35.18.11:139 <br>&gt; 192.168.1.11:4171 192.168.1.11:4171<br>&gt; tcp ISP_IP:8 10.35.18.11:139 <br>&gt; 192.168.1.11:4365 192.168.1.11:4365<br>&gt; Как так? При чем как Вы видите часть адресов серые ..<br><br> Так покажите настройки NAT<br> https://opennet.ru/openforum/vsluhforumID6/21826.html#2 Wed, 27 Oct 2010 09:07:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 10 permit ip host 10.35.18.11 host 213.180.204.3<br>&gt;&gt; 11 permit ip host 10.35.18.11 host 74.125.87.99<br>&gt;&gt; 20 deny ip host 10.35.18.11 any<br>&gt;&gt; ....<br>&gt;&gt; 90 permit ip any any<br>&gt;&gt; Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем<br>&gt;&gt; проблема может быть ?<br>&gt; Сначала NAT потом уже access-list<br>&gt; http://www.ciscosystems.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br>&gt; Делать надо на входящем interface из локалки<br><br>Спасибо разобрался, разрешил в настройках NAT-a только определенные адреса, непосредственно с этого компа 10.35.18.11 вижу только разрешенные хосты, но <br><br>sh ip nat translations &#124; in 10.35.18.11<br><br>tcp ISP_IP:4 10.35.18.11:139 5.48.135.236:1123 5.48.135.236:1123<br>tcp ISP_IP:5 10.35.18.11:139 5.48.135.236:1135 5.48.135.236:1135<br>tcp ISP_IP:6 10.35.18.11:139 5.48.135.236:1192 5.48.135.236:1192<br>tcp ISP_IP:10 10.35.18.11:139 5.48.135 https://opennet.ru/openforum/vsluhforumID6/21826.html#1 Wed, 27 Oct 2010 08:34:00 GMT &gt;[оверквотинг удален]<br>&gt; no cdp enable<br>&gt; sh access-lists DENY-out<br>&gt; Extended IP access list DENY-out<br>&gt; 10 permit ip host 10.35.18.11 host 213.180.204.3<br>&gt; 11 permit ip host 10.35.18.11 host 74.125.87.99<br>&gt; 20 deny ip host 10.35.18.11 any<br>&gt; ....<br>&gt; 90 permit ip any any<br>&gt; Захожу на 10.35.18.11 все нормально работает и помимо разрешенных хостов, в чем<br>&gt; проблема может быть ?<br><br> Сначала NAT потом уже access-list<br>http://www.ciscosystems.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br> Делать надо на входящем interface из локалки<br>