URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19446
[ Назад ]

Исходное сообщение
"ACL и Nat-inside на интерфейсе"
Отправлено psizo3552 , 11-Авг-09 09:36

Добрый день и ночь всем!!
Есть маршрутизатор со следующей прошивкой "c1841-adventerprisek9-mz.124-15". Один интерфейс подключен к интернету, имеет статический ип. Второй интерфейс смотрит во внутреннюю сеть, куда по DHCP раздаются адреса. Необходимо организовать доступ для станций из внутренней сети в интернет через overload внешнего интерфейса. В то же время интернет должен быть зарезан, т. е. октрыты сугубо определенные ресурсы.
Сначала пытался сделать ограничение на доступ, повесив на вход внутреннего интерфейса acl-ку. Но успех имел место весьма сомнительный.
interface FastEthernet0/0 // внешний интерфейс
ip address AAA.AAA.AAA.AAA MMM.MMM.MMM.MMM
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
interface FastEthernet0/1
ip address 172.16.166.1 255.255.255.0
ip access-group List in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
ip nat inside source list NAT interface FastEthernet0/0 overload
ip access-list extended NAT
permit ip 172.16.166.0 0.0.0.255 any
ip access-list extended List
...
...
...
deny ip any any // для наглядности
ACL не привожу, там перепроверял все по 100 раз. Но доступ есть по сути хоть куда. В частности закрыт http доступ, но странички веб-сайтов все равно частично открываются - появляются заголовки, верхние строки и элементы управления, чего быть не должно. Вообщем потом уже подумал, что схема не совсем правильная, что нужно ограничивать доступ сразу в нате.
Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе access-list не смотрит, получается?
В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL List вообще отрубил - инета не стало вообще.
Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за понимание.

Содержание

ACL и Nat-inside на интерфейсе,Murzik, 12:31 , 11-Авг-09
- ACL и Nat-inside на интерфейсе,Eduard_k, 17:13 , 11-Авг-09
  - ACL и Nat-inside на интерфейсе,psizo3552, 14:33 , 08-Сен-09

Сообщения в этом обсуждении

"ACL и Nat-inside на интерфейсе"
Отправлено Murzik , 11-Авг-09 12:31

>
>
>interface FastEthernet0/1
> ip address 172.16.166.1 255.255.255.0
> ip access-group List in
Это убираем!
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
>
>ip nat inside source list NAT interface FastEthernet0/0 overload
строчка вида : ip nat inside sourse list List interface Fa0/0 overload
>
>ip access-list extended NAT
> permit ip 172.16.166.0 0.0.0.255 any
И эти 2 строчки убираем
>ip access-list extended List
Тут правила доступа вида
permit ip host 172.16.166.2 host XX.XX.XX.XX
если надо указываем порты доступа
>[оверквотинг удален]
>
>
>Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе
>access-list не смотрит, получается?
>
>В качестве пробного решения проблемы пофиксил под свои нужды ACL NAT, ACL
>List вообще отрубил - инета не стало вообще.
>
>Понимаю, что проблема для многих покажется смешной. Но она есть. Спасибо за
>понимание.
Если надо пример пиши...

"ACL и Nat-inside на интерфейсе"
Отправлено Eduard_k , 11-Авг-09 17:13

>Так вот вопрос: при трансляции внутренних адресов маршрутизатор на повешенный на интерфейсе
>access-list не смотрит, получается?
Должен смотреть.
Порядок обработки пакетов на интерфейсах описан в документе NAT order of operations
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...

"ACL и Nat-inside на интерфейсе"
Отправлено psizo3552 , 08-Сен-09 14:33

Большое спасибо за ответы!! Посмотрю, проверю, попробую. Как что-нибудь определится, напишу.