Oi Alessandro,
A linha: access-list 101 permit tcp any any established:
Deixa passar qualquer pacote que pertence a uma conex�o que j� foi
aberta (estabelecida) anteriormente. Se refere ao tr�fego de volta ou
de resposta a um pedido de conex�o.
Essa linha deixa passar os pacotes que possuem o flag ACK ligado.
� a linha de volta.
A linha: access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
Permite que qualquer m�quina da rede 10.66.0.0/16 possa solicitar uma
conex�o tcp/smtp a qualquer servidor da intra/internet (any).
Esta linha � exatamente a linha que deixa passar um pedido de abertura
de conex�o tcp/smtp/porta 25 a um servidor. � a linha de ida.
Nessa linha, o pacote n�o tem o flag de ACK ligado.
A linha: access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
established
Permite que qualquer m�quina da rede 10.66.0.0/16 possa solicitar uma
conex�o tcp/smtp para qualquer servidor (any), desde que tenha
o flag ACK ligado. � incongruente. H� uma tentativa de abertura de
conex�o e ao mesmo tempo dizendo que j� � uma conex�o estabelecida.
N� funciona.
Grato.
Kevison Dennys Carrilho Bentes
Gerente de Rede
Air System Network
Bras�lia - DF Brasil
Fone: 55 61 313-8002
Fax: 55 61 313-8008
[EMAIL PROTECTED]
----- Original Message -----
From: "Alessandro Silva Matos" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Wednesday, October 11, 2000 11:02 AM
Subject: Re: [redewan] access-list cisco
| Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
|
| Amigos Antonio Carlos Pina e Osvaldo Jr.
|
| Agrade�o a ajuda.
|
| Meu problema era que n�o havia atentado para permit tcp any any
| established nem para host 10.66.0.0 . Nesse �ltimo, um erro gritante,
visto
| que o correto � 10.66.0.0 0.0.255.255 (de tanto digitar e "cut and paste"
| acabei trocando as bolas).
|
| Agora est� funcionando corretamente. Mas, como fiquei com algumas
| d�vidas, rogo uma �ltima explica��o.
|
| 1- No caso do established, como descrito no manual: " Allows TCP traffic
to
| pass if packet use an established connection (for example, has ACK bits
| set)."
|
| Como funciona exatamente? Se eu colocar dessa forma, tudo ok:
|
| access-list 101 permit tcp any any established
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3
|
| Mas assim, n�o:
|
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp established
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp established
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 established
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 established
|
|
|
| 2 - "Tenha o cuidado do sentido de aplica��o da regra na interface". Eu
| tenho colocado:
|
| in s0
| ip access-group 101 in
| ip access-group 101 out
|
| Deveria ser somente out? A alguma implica��o nisso?
|
|
| Abra�os,
|
| Alessandro S. Matos
|
|
| ______________________________________________________________________
|
|
|
