Vc poderia nos passar o esquem�tico da sua rede, dizendo em que interface
est� conectado o proxy e em qual interface est� a rede 10.79.0.0. Acho que
ajudaria na resolu��o de problemas, principalmente com rela��o ao sentido da
regra a ser aplicada.
Outras observa��es que eu faria s�o:
- Quando � fechada uma conex�o, as portas cliente usadas s�o acima de 1024.
Ou seja, � necess�rio que vc as abra ou ent�o que permita passar os pacotes
de uma conex�o j� feita, usando a seguinte regra:
access-list 101 permit tcp origem destino established
- Normalmente, as regras relacionadas a ICMP s�o especificadas baseando-se
em tipos de mensagens deste protocolo. Abaixo, as mais usadas:
access-list 101 permit icmp origem destino unreachable
access-list 101 permit icmp origem destino echo-reply
access-list 101 permit icmp origem destino packet-too-big
access-list 101 permit icmp origem destino time-exceeded
access-list 101 permit icmp origem destino traceroute
access-list 101 permit icmp origem destino administratively-prohibited
access-list 101 permit icmp origem destino echo
Quando se fazem access-lists, � importante observar tamb�m que:
- Quando se aplica uma access-list, a regra �: "Tudo � negado, exceto
xxxxx." xxxx s�o as regras de permit que vc cria.
- As regras s�o aplicadas de forma que, a primeira em que bater, o resto n�o
� checado (ajuda a otimizar a performance, se vc tiver um conjunto de regras
muito grande).
- O sentido em que a regra � aplicada � do ponto de vista da interface do
router. Out na ethernet � tudo o que sai por essa interface, mas j� ter�
entrado. In na serial ser� checado antes do pacote entrar no router.
Entender estes conceitos tamb�m ajuda a melhorar a performance.
- Quando se cria uma lista com numera��o de 3 d�gitos, quer dizer que vamos
utilizar uma checagem das portas do pacote. Assim sendo, a maioria das
regras � baseada em portas TCP, UDP ou nas mensagens ICMP. Se a regra a ser
usada ser� somente com rela��o a endere�o IP de origem/destino, use uma
regra com numera��o de 2 d�gitos.
[]`s
Osvaldo Jr.
-----Original Message-----
From: Coordena��o de Tratamento da Informa��o
[mailto:[EMAIL PROTECTED]]
Sent: Friday, September 22, 2000 11:58 AM
To: Lista de Discuss�o Rede Wan
Subject: [redewan] access-list cisco
Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
Ol� lista. Estou come�ando agora a trabalhar com access-list e estou
passando por um problema engra�ado e acho que de t�o simples, n�o consigo
refer�ncia em lugar nenhum. Monto minha lista direitinho, tal qual manda o
manual mas, quando habilito, meu roteador fecha todas as portas para a minha
rede. Deve ser algo banal que n�o estou vendo mas j� me deu muita dor de
cabe�a. Agrade�o qualquer dica.
roteador cisco 2501
Obs.: 10.66.0.17 -> PROXY
access-list 101 permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
permit ip host 10.66.0.17 10.79.0.0 0.0.255.255
permit icmp host 10.66.0.17 10.79.0.0 0.0.255.255
permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
eq ftp-data
permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
eq ftp
interface ethernet 0
ip access-group 101 out
______________________________________________________________________
|
