RE: [cisco-ttl] Access-Lists

From: Selçuk COŞAN <selcukcosan_at_....>
Date: Wed Sep 21 2005 - 17:42:57 EEST


Öncelikle bir hatırlatma olarak DNS e izin vermeyi unutmuşsunuz(eğer içeriden başka bir yolla DNS isteklerine cevap alan server yoksa)

İkinci olarak bu router internete bağlanan router ise NAT yapıyordur herhalde.Ve siz bu access-list i dışarıya çıkan arayüze uygularsanız yine çıkamayacaksınız diye düşünüyorum.
Çünkü NAT içeriden dışarıya doğru çıkarken önce inbound ACL kontrol edilir ondan sonra adres dönüşümü yapılır sonra outbound ACL kontrol edilir.Bu yüzden sizin yazdığınız outbound ACL kontrol edilirken artık 172.16.0.0 private adresleri dönüşmüş olacak ve "implicit deny" a takılacaktır.

Bu access listi inside interface in inbound yönünde uygulamayo deneyin.

-----Original Message-----
From: cisco-ttl@yahoogroups.com [mailto:cisco-ttl@yahoogroups.com] On Behalf Of Aydin KOCAK
Sent: Wednesday, September 21, 2005 11:37 AM To: cisco-ttl@yahoogroups.com
Subject: [cisco-ttl] Access-Lists

Merabalar;
Cisco 3661 router uzerinde access list yazarken. Genelde once kapatilacak kurallar yaziliyor ve en sona da permit ip any any

Bu da istemedigimiz cogu trafigin kesilememesini sagliyor. Ben once permit edilecek trafik icin kural girdim daha sonra ve en sonda imlicit olarak deny any oldugu icin sadece izin verilenlerin baglanacagini dusunmustum ancak hic kimse hic bir yere baglanamadi. Yazdigim kurallar asagidaki gibi :

permit tcp 172.16.0.0 0.0.255.255 any eq www permit tcp 172.16.0.0 0.0.255.255 any eq 443 permit tcp 172.16.0.0 0.0.255.255 any eq 22 permit tcp 172.16.0.0 0.0.255.255 any eq telnet

burada amacim iceriden disariya sadece izin verdigim yukaridaki trafiklerin cikmasi ve bunun icin internete cikan arayuze bu access-group'u out olarak uyguladim ancak soyledigim gibi butun trafik down oldu hic kimse bir yere cikamadi. Soyledigim gibi bir sey mumkun degil mi acaba sadece izin verilen servislere baglanilabilsin gibi ?

Iyi Calismalar,
Aydin KOCAK.

[Non-text portions of this message have been removed]

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 
Yahoo! Groups Links



 







------------------------ Yahoo! Groups Sponsor --------------------~--> 
Most low income households are not online. Help bridge the digital divide today!
http://us.click.yahoo.com/cd_AJB/QnQLAA/TtwFAA/26EolB/TM
--------------------------------------------------------------------~-> 

--
Cisco Teknik Tartisma Listesi (Cisco-ttl)

Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk 
kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya da 
bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu tutulamazlar. 
Yahoo! Groups Links


<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/cisco-ttl/
<*> To unsubscribe from this group, send an email to:
cisco-ttl-unsubscribe@yahoogroups.com
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
Received on Wed Sep 21 20:30:01 2005

This archive was generated by hypermail 2.1.8 : Wed Sep 21 2005 - 20:30:02 EEST