ACL na outside

[cesarks]

Witam,
Mam na ASA5510 dwa połączenia z internetem (podstawowe i backup)
W przypadku awarii łącza podstawowego działa backup, ale ponieważ łącze zapasowe jest dużo wolniejsze chciałbym je udostępnić tylko dla wybranych adresów z LAN.
Próbowałem dodać ACL na interfejsie z łączem zapasowym:

Kod: Zaznacz cały

object-group network permit_ISP2
 network-object host 10.1.0.10
 network-object host 10.1.0.11
 network-object host 10.1.0.12

access-list ACL_ISP2 extended permit ip any object-group permit_ISP2
access-list ACL_ISP2 extended deny ip any any
access-group ACL_ISP2 in interface backup

niestety i tak wszyscy z LAN maja dostęp do internetu...

[myszasty]

Witam,
Mam na ASA5510 dwa połączenia z internetem (podstawowe i backup)
W przypadku awarii łącza podstawowego działa backup, ale ponieważ łącze zapasowe jest dużo wolniejsze chciałbym je udostępnić tylko dla wybranych adresów z LAN.
Próbowałem dodać ACL na interfejsie z łączem zapasowym:

Kod: Zaznacz cały

object-group network permit_ISP2
 network-object host 10.1.0.10
 network-object host 10.1.0.11
 network-object host 10.1.0.12

access-list ACL_ISP2 extended permit ip any object-group permit_ISP2
access-list ACL_ISP2 extended deny ip any any
access-group ACL_ISP2 in interface backup

niestety i tak wszyscy z LAN maja dostęp do internetu...

Pokaż sec-level
poza tym chyba masz odwrotnie ACL zrobione .. najpierw src potem dst a nie jak u Ciebie..

[sergio]

Dodatkowo jak chcesz robić ACL na interface backupowym to OUT a nie IN

[cesarks]

Zgadza się, były 2 błędy: scr zamienione z dest. i IN zamiast OUT.
Dzięki.