Oi Coordenador,
Pelas regras da sua lista abaixo, concluo o seguinte:
access-list 101 permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
permit ip host 10.66.0.17 10.79.0.0
0.0.255.255
permit icmp host 10.66.0.17 10.79.0.0 0.0.255.255
permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
eq ftp-data
permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
eq ftp
interface ethernet 0
ip access-group 101 out
As regras ser�o aplicadas para todos os pacotes que sa�rem pela interface
ethernet 0 do roteador.
Pela sua mensagem, chego a conclus�o que esse roteador � a sa�da da
sua rede e o mesmo se conecta a sua rede local 10.66.0.0 via
interface ethernet 0. Estou certo?
Se sim, todo tr�fego que chega na sua rede local vai passar
pela interface ethernet 0 e ser� filtrado pela lista de acesso que voce
criou.
Logo, o tr�fego que fluir� para dentro da sua rede local atrav�s do
roteador � exatamente o que voce est� explicitamente permitindo
nas regras da access-list acima.
Todo o tr�fego restante, ser� descartado pelo roteador.
Logo, o roteador est� fazendo exatamente aquilo que voce mandou o
que ele fizesse, o que n�o � exatamente o que voce est� querendo.
Se voce resolveu aplicar a access-list na interface ethernet 0, voce est�
filtrando o tr�fego entrante de toda a sua rede e n�o somente o tr�fego para
o
proxy.
Voce deve mapear todos os servi�os disponibilizados em sua rede local que
devem ser acessados por redes externas e tambem todos os servi�os que seus
clientes de rede local acessam externamente e aplicar as regras necess�rias
para habilitar esse tr�fego.
Em rela��o a sua lista de acesso, as duas �ltimas linhas est�o cobertas
pelas duas primeiras.
A primeira est� coberta pela segunda.
Ou seja, a primeira, a quarta e a quinta linhas s�o redundantes.
Para habilitar o tr�fego para o proxy ser� necess�rio:
Todo proxy escuta tcp em uma porta, vamos supor 8080.
Regra de ida: est� coberta, pois, o filtro � apenas na volta
Regra de volta: permit tcp rede m�scara invertida host 10.66.0.17 8080
rede = totais de redes que podem acessar o proxy
m�scara invertida = correspondente
� s� a rede 10.79.0.0 que vai acessar o proxy por fora da rede local?
Grato,
Kevison Dennys Carrilho Bentes
Gerente de Rede
Air System Network
Bras�lia - DF Brasil
Fone: 55 61 313-8002
Fax: 55 61 313-8008
[EMAIL PROTECTED]
----- Original Message -----
From: "Coordena��o de Tratamento da Informa��o" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Friday, September 22, 2000 11:57 AM
Subject: [redewan] access-list cisco
> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
>
> Ol� lista. Estou come�ando agora a trabalhar com access-list e estou
> passando por um problema engra�ado e acho que de t�o simples, n�o consigo
> refer�ncia em lugar nenhum. Monto minha lista direitinho, tal qual manda o
> manual mas, quando habilito, meu roteador fecha todas as portas para a
minha
> rede. Deve ser algo banal que n�o estou vendo mas j� me deu muita dor de
> cabe�a. Agrade�o qualquer dica.
>
>
> roteador cisco 2501
>
> Obs.: 10.66.0.17 -> PROXY
>
> access-list 101 permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
> permit ip host 10.66.0.17 10.79.0.0
0.0.255.255
> permit icmp host 10.66.0.17 10.79.0.0 0.0.255.255
> permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
> eq ftp-data
> permit tcp host 10.66.0.17 10.79.0.0 0.0.255.255
> eq ftp
> interface ethernet 0
> ip access-group 101 out
>
>
> ______________________________________________________________________
>
|
