Автор Тема: Cisco ISR 4331 доступ в интернет + ACL  (Прочитано 140 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн testoffsurf

  • Newbie
  • *
  • Сообщений: 1
  • Karma: +0/-0
Cisco ISR 4331 доступ в интернет + ACL
« : Сентября 27, 2019, 04:39:48 pm »
Добрый день,

   Помогите разобраться как правильно применить ACL-лист на интерфейсах. Ниже приведен небольшой фрагмент конфигурации маршрутизатора:

ip name-server 212.3.133.6 77.88.8.8 8.8.8.8

ip domain timeout 2
ip domain name XXX.ru

interface GigabitEthernet0/0/0
 ip address 192.168.0.10 255.255.255.252
 ip nat inside
 ip tcp adjust-mss 1412
 negotiation auto
 ip virtual-reassembly

interface GigabitEthernet0/0/1
 description ===[ ROSTELEKOM ]===
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable

interface GigabitEthernet0/0/2
 ip address 192.168.0.6 255.255.255.252
 ip nat inside
 ip tcp adjust-mss 1412
 negotiation auto
 ip virtual-reassembly

interface Dialer0
 description ===[ Dialer for ISP ROSTELEKOM ]===
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [username]
 ppp chap password [password]
 ppp pap sent-username [username] password [password]
 no cdp enable
 ip virtual-reassembly

router eigrp 67
 variance 2
 network 192.168.0.4 0.0.0.3
 network 192.168.0.8 0.0.0.3
 redistribute static
 passive-interface default
 no passive-interface GigabitEthernet0/0/2
 no passive-interface GigabitEthernet0/0/0

ip nat inside source static tcp 10.0.9.110 3389 [PUBLIC_IP] 5006 extendable
ip nat inside source static tcp 10.0.9.107 3389 [PUBLIC_IP] 5020 extendable
ip nat inside source static tcp 10.0.9.107 80 [PUBLIC_IP] 25080 extendable
ip nat inside source list INTERNET_RULE_NAT interface Dialer0 overload
ip dns server
ip route 0.0.0.0 0.0.0.0 Dialer0

ip access-list extended INTERNET_RULE_NAT
 permit ip 10.0.9.0 0.0.0.255 any
 permit ip 10.67.0.0 0.0.7.255 any
 deny   ip any any

ACL-лист на вход выглядит следующим образом:

ip access-list extended ACL_RT_IN
  deny ip 10.0.0.0 0.255.255.255 any
  deny ip 172.16.0.0 0.15.255.255 any
  deny ip 192.168.0.0 0.0.255.255 any
  deny ip 127.0.0.0 0.255.255.255 any
  deny ip 169.254.0.0 0.0.255.255 any
  deny ip 192.0.2.0 0.0.0.255 any
  deny ip 224.0.0.0 15.255.255.255 any
  deny ip 240.0.0.0 15.255.255.255 any
  deny ip host 0.0.0.0 any
  deny ip host 255.255.255.255 any
  deny tcp any any fragments
  deny udp any any fragments
  deny icmp any any fragments
  deny ip any any fragments
  deny ip any any option any-options
  deny ip any any ttl lt 6
  deny icmp any any redirect
  permit icmp any any
  permit tcp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
  permit udp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
  permit tcp any eq 25080 host 10.0.9.107 eq 80
  permit tcp any eq 5020 host 10.0.9.107 eq 3389
  permit tcp any eq 5006 host 10.0.9.110 eq 3389
  deny ip any any

ACL-лист на выход выглядит следующим образом:

ip access-list extended ACL_RT_OUT
  permit tcp any any eq 80
  permit tcp any any eq 443
  permit tcp any any eq 53
  permit udp any any eq 53
  permit udp any any eq 123
  permit tcp any any range 20 21
  permit tcp any eq ftp-data any gt 1024
  permit icmp any any echo
  permit icmp any any echo-reply
  permit icmp any any packet-too-big
  permit icmp any any time-exceeded
  permit icmp any any traceroute
  deny ip any any

Если применить список доступа [ip access-group ACL_RT_IN in на interface Dialer0] в локальной сети интернета нет, до тех пор пока в список доступа не добавить [permit tcp any any established]. Если применить список доступа [ip access-group ACL_RT_IN in и ip access-group ACL_RT_OUT out на interface Dialer0] в локальной сети интернета нет совсем.

Помогите разобраться, я чувствую что где-то запутался.