|
Date:
|
Oct 12 2000 15:39:56 EDT
|
|
From:
|
"Alessandro Silva Matos" <[EMAIL PROTECTED]>
|
|
Subject:
|
Re: [redewan] access-list cisco |
Amigos Antonio Carlos Pina e Osvaldo Jr.
Agrade�o a ajuda.
Meu problema era que n�o havia atentado para permit tcp any any
established nem para host 10.66.0.0 . Nesse �ltimo, um erro gritante, visto
que o correto � 10.66.0.0 0.0.255.255 (de tanto digitar e "cut and paste"
acabei trocando as bolas).
Agora est� funcionando corretamente. Mas, como fiquei com algumas
d�vidas, rogo uma �ltima explica��o.
1- No caso do established, como descrito no manual: " Allows TCP traffic to
pass if packet use an established connection (for example, has ACK bits
set)."
Como funciona exatamente? Se eu colocar dessa forma, tudo ok:
access-list 101 permit tcp any any established
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3
Mas assim, n�o:
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp established
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp established
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 established
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 established
2 - "Tenha o cuidado do sentido de aplica��o da regra na interface". Eu
tenho colocado:
in s0
ip access-group 101 in
ip access-group 101 out
Deveria ser somente out? A alguma implica��o nisso?
Abra�os,
Alessandro S. Matos
|
