Oi Alessandro,
Faltou explicar o segundo item.
int s 0
ip access-group 101 in
ip access-group 101 out
Voce deve cruzar as informa��es.
ip access-group 101 in -> significa que a lista de acesso vai ser
batida contra os pacotes que est�o entrando pela interface serial 0.
ip access-group 101 out -> significa que a lista de acesso vai ser
batida contra os pacotes que est�o saindo pela interface serial 0.
Voce deve analisar e responder duas quest�es:
� congruente? � necess�rio?
Se a resposta as duas perguntas forem simult�neamente "sim",
ent�o a linha est� bem colocada. Caso contr�rio, elimine a
linha.
Vamos analisar:
Considero que a sua rede local � 10.66.0.0/16.
ip access-group 101 in
access-list 101 permit tcp any any established - ok
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp - incongruente
nunca vai existir um pacote que esteja entrando pela interface serial 0 e
que
tenha como origem o endere�o 10.66.0.0
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp - ok
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 - incongruente
pelo mesmo motivo acima
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 - ok
Agora:
ip access-group 101 out
access-list 101 permit tcp any any established - ok
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp - ok
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp - incongruente
nunca vai existir um pacote que esteja saindo pela interface serial 0 que
tenha como destino o endere�o 10.66.0.0
access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 - ok
access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 - incongruente
pelo mesmo motivo acima
Como voce v�, voce pode melhorar sua lista de acesso.
Recomendo voce criar uma lista para os pacotes entrantes e outra lista
para os pacotes saintes.
Grato.
Kevison Dennys Carrilho Bentes
Gerente de Rede
Air System Network
Bras�lia - DF Brasil
Fone: 55 61 313-8002
Fax: 55 61 313-8008
[EMAIL PROTECTED]
----- Original Message -----
From: "Alessandro Silva Matos" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Wednesday, October 11, 2000 11:02 AM
Subject: Re: [redewan] access-list cisco
| Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
|
| Amigos Antonio Carlos Pina e Osvaldo Jr.
|
| Agrade�o a ajuda.
|
| Meu problema era que n�o havia atentado para permit tcp any any
| established nem para host 10.66.0.0 . Nesse �ltimo, um erro gritante,
visto
| que o correto � 10.66.0.0 0.0.255.255 (de tanto digitar e "cut and paste"
| acabei trocando as bolas).
|
| Agora est� funcionando corretamente. Mas, como fiquei com algumas
| d�vidas, rogo uma �ltima explica��o.
|
| 1- No caso do established, como descrito no manual: " Allows TCP traffic
to
| pass if packet use an established connection (for example, has ACK bits
| set)."
|
| Como funciona exatamente? Se eu colocar dessa forma, tudo ok:
|
| access-list 101 permit tcp any any established
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3
|
| Mas assim, n�o:
|
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq smtp established
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq smtp established
| access-list 101 permit tcp 10.66.0.0 0.0.255.255 any eq pop3 established
| access-list 101 permit tcp any 10.66.0.0 0.0.255.255 eq pop3 established
|
|
|
| 2 - "Tenha o cuidado do sentido de aplica��o da regra na interface". Eu
| tenho colocado:
|
| in s0
| ip access-group 101 in
| ip access-group 101 out
|
| Deveria ser somente out? A alguma implica��o nisso?
|
|
| Abra�os,
|
| Alessandro S. Matos
|
|
| ______________________________________________________________________
|
|
|
