Mam problem z tymi access listami:
Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Extended IP access list 101
permit icmp any 10.1.1.160 0.0.0.31 echo-reply
wszystkie podpiete do interfejsu eth0 in w routerze.
Problem polega na tym ze nie udaje sie pingowac komputerow z routera bezposrednio spietego z tym pierwszym. Moge pingowa interfejs eth0, ale komputerow juz nie. W czym tkwi problem?
Acl - problem
Acl - problem
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: Acl - problem
e masz 2 ACLe in na jednym int ?toczyskik pisze: wszystkie podpiete do interfejsu eth0 in w routerze.
Re: Acl - problem
Ta lista blokuje caly ruch ip. Jezeli pakiet pochodzi z sieci 10.1.1.160/27 trafia w pierwsza regule i jest odrzucany. Nawet jezeli docelowym hostem jest 10.1.1.34 to i tak jest odrzucony bo listy sa sprawdzane po kolei. Pierwsze dopasowanie i koniec sprawdzania.toczyskik pisze:Mam problem z tymi access listami:
Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Z kolei ruch z innych sieci zrodlowych trafia na domyslna regule deny all i tez nie przejdzie.
A te listy sa podpiete na in czy out?
[edit] Nie zauwazylem ze in
Ale faktycznie kawalek topologii z adresacja bylby pomocny. [/edit]
Ostatnio zmieniony 22 sie 2006, 23:55 przez pio, łącznie zmieniany 1 raz.
Re: Acl - problem
No jak najpierw zablokujesz cale IP z jakiejs sieci, to kolejne wpisy zezwalajace cokolwiek nic juz nie dajatoczyskik pisze: Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Oj tu chyba pomylka, bo raczej obie ACL nie sa na eth0 w kierunku IN.toczyskik pisze:Extended IP access list 101
permit icmp any 10.1.1.160 0.0.0.31 echo-reply
wszystkie podpiete do interfejsu eth0 in w routerze.
Ogolnie fragment topologii z adresacja moglby pomoc. Jasnowidzenie jest u mnie aktywne tylko 29lutego
Tak poza pierwsza uwaga, to ACL moga byc nawet OK
ale jak juz wspomnialem nie zabardzo wiadomo co gdzie jest, no i co chcesz osiagnac."Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Re: Acl - problem
Topologia sieci:
komp1(10.1.1.33)-|
komp2(10.1.1.34)-|----eth0(10.1.1.32/27)-ROUTER1------ROUTER2-eth0(10.1.1.161/27)-komp3(10.1.1.162)
Komp3 nie ma miec dostepu do niczego poza kompem2.
Routery moga pingowac komp3.
kompy1 i 2 maja dostep do wszystkiego.
Z przyzwyczajen z pf z OpenBSD myslalem, ze najpierw blokuje wszystko, a pozniej odblokowuje sobie co jest mi potrzebne i dlatego te reguly:
Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Extended IP access list 101
permit icmp any 10.1.1.160 0.0.0.31 echo-reply
komp1(10.1.1.33)-|
komp2(10.1.1.34)-|----eth0(10.1.1.32/27)-ROUTER1------ROUTER2-eth0(10.1.1.161/27)-komp3(10.1.1.162)
Komp3 nie ma miec dostepu do niczego poza kompem2.
Routery moga pingowac komp3.
kompy1 i 2 maja dostep do wszystkiego.
Z przyzwyczajen z pf z OpenBSD myslalem, ze najpierw blokuje wszystko, a pozniej odblokowuje sobie co jest mi potrzebne i dlatego te reguly:
Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Extended IP access list 101
permit icmp any 10.1.1.160 0.0.0.31 echo-reply
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: Acl - problem
Nie wiem jak u innych, ale moja opera poprzestawiała Twój schemat ...toczyskik pisze:Topologia sieci:
komp1(10.1.1.33)-|
|-------eth0(10.1.1.32/27)-ROUTER1--------ROUTER2-eth0(10.1.1.161/27)
komp2(10.1.1.34)-| |
|
komp3(10.1.1.162)
Komp3 nie ma miec dostepu do niczego poza kompem2.
Routery moga pingowac komp3.
kompy1 i 2 maja dostep do wszystkiego.
To jeżeli nawiązujesz do PF, to może będzie łatwiej Ci zrozumieć:toczyskik pisze:Z przyzwyczajen z pf z OpenBSD myslalem, ze najpierw blokuje wszystko, a pozniej odblokowuje sobie co jest mi potrzebne i dlatego te reguly:
Extended IP access list 100
deny ip 10.1.1.160 0.0.0.31 any
permit ip 10.1.1.160 0.0.0.31 host 10.1.1.34
Extended IP access list 101
permit icmp any 10.1.1.160 0.0.0.31 echo-reply
Wyobraź sobie, że na początku każdej ACL w Routerze Cisco jest domyślna reguła blokująca:
block in all (out)
i dalej wyobraź sobie, że każda reguła inna (permit, deny) jest jak w PF tylko z "quick" no i już masz co napisali przedmówcy: pierwsza pasująca działa, jak żadna nie pasuje to deny.
Pozdr
A
"Czytanie ma przyszłość"
Re: Acl - problem
no to można to wszystko sprowadzić do:toczyskik pisze:Topologia sieci:
komp1(10.1.1.33)-|
komp2(10.1.1.34)-|----eth0(10.1.1.32/27)-ROUTER1------ROUTER2-eth0(10.1.1.161/27)-komp3(10.1.1.162)
Komp3 nie ma miec dostepu do niczego poza kompem2.
Routery moga pingowac komp3.
kompy1 i 2 maja dostep do wszystkiego. (...)
access-list 101 permit ip host 10.1.1.162 host 10.1.1.34
access-list 101 deny ip host 10.1.1.162 any
access-list 101 permit ip any any
i podłączyć ją w kierunku out na R1/eth0 - taką mam wizję
Re: Acl - problem
Co by R1 nie zajmowal sie ruchem, ktory potencjalnie bedzie i tak odrzucony zmienilbym troszke ta ACLke na:bart pisze: access-list 101 permit ip host 10.1.1.162 host 10.1.1.34
access-list 101 deny ip host 10.1.1.162 any
access-list 101 permit ip any any
i podłączyć ją w kierunku out na R1/eth0 - taką mam wizję
Kod: Zaznacz cały
access-list 101 permit ip host 10.1.1.162 host 10.1.1.34
access-list 101 permit icmp host 10.1.1.162 any echo-reply
access-list 101 deny ip host 10.1.1.162 any
access-list 101 permit ip any any
Re: Acl - problem
no tak też może być. to już zależy co jeszcze te routery robią ale to już będzie wiedział ich admin.gangrena pisze:i umiescil ja w kierunku in na R2/eth0
Re: Acl - problem
Nie wiele to zminilo w moim przypadku. Nadal nie moge pingowac kompa3 z routera1.gangrena pisze:Co by R1 nie zajmowal sie ruchem, ktory potencjalnie bedzie i tak odrzucony zmienilbym troszke ta ACLke na:bart pisze: access-list 101 permit ip host 10.1.1.162 host 10.1.1.34
access-list 101 deny ip host 10.1.1.162 any
access-list 101 permit ip any any
i podłączyć ją w kierunku out na R1/eth0 - taką mam wizję
i umiescil ja w kierunku in na R2/eth0Kod: Zaznacz cały
access-list 101 permit ip host 10.1.1.162 host 10.1.1.34 access-list 101 permit icmp host 10.1.1.162 any echo-reply access-list 101 deny ip host 10.1.1.162 any access-list 101 permit ip any any
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: Acl - problem
Dla pewnosci - A czy mozesz wykonac te wszystkie testowe pingi jesli nie masz zadnych ACL?toczyskik pisze:Nie wiele to zminilo w moim przypadku. Nadal nie moge pingowac kompa3 z routera1.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Re: Acl - problem
Siedzialem tylke nad tym wczoraj, ze zapomnialem zrobic tak podstawowego testu. Dzialaja wszystkie oprocz tej z rutera 1 do kompa 3. To nie w ACL tkwi bladw takim razie, tylko gdzies w mojej konfiguracji.Seba pisze:Dla pewnosci - A czy mozesz wykonac te wszystkie testowe pingi jesli nie masz zadnych ACL?toczyskik pisze:Nie wiele to zminilo w moim przypadku. Nadal nie moge pingowac kompa3 z routera1.
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: Acl - problem
Pewnie router nie ma informacji o sieci gdzie jest ten komptoczyskik pisze:To nie w ACL tkwi bladw takim razie, tylko gdzies w mojej konfiguracji.
Re: Acl - problem
tablica routingu z routera 1balam pisze:Pewnie router nie ma informacji o sieci gdzie jest ten komptoczyskik pisze:To nie w ACL tkwi bladw takim razie, tylko gdzies w mojej konfiguracji.
C 10.1.1.32 is directly connected, Ethernet0
C 10.1.1.96 is directly connected, Serial1
R 10.1.1.160 [120/1] via 10.1.1.98, 00:00:25, Serial1
tablica routingu z routera 2
R 10.1.1.32 [120/1] via 10.1.1.97, 00:00:23, Serial0
C 10.1.1.96 is directly connected, Serial0
C 10.1.1.160 is directly connected, Ethernet0
Pozdrawiam
Krzysiek Te.
Krzysiek Te.
Re: Acl - problem
Info o sieci 10.1.1.160 jest wiec nie powinno byc problemu...
To moze jakis personal fw na kompie? Wylacz fw i bez acl postaraj sie popingowac w jedna i druga.
[/quote]
To moze jakis personal fw na kompie? Wylacz fw i bez acl postaraj sie popingowac w jedna i druga.
[/quote]