Yaten Posted September 8, 2006 Posted September 8, 2006 в общем суть такая, настраиваю динамический аксес лист и управляю им по rsh. что самое интересное он работает, добавляет, удаляет правила.... только вот например http он перекрывает, а icmp нет - пинг продолжает бегать. где собака зарыта, подскажите ))) Вот sh run ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret 5 xxx enable password xxx ! aaa new-model ! ! aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa session-id common ip subnet-zero no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host admin 172.16.0.2 admin enable ! ! ip cef ! ip audit po max-events 1000 vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! ! ! ! ! ! ! ! ! ! ! ! username admin privilege 8 password 0 xxx ! ! ! ! ! ! interface Ethernet0/0 ip address 172.16.0.1 255.255.0.0 half-duplex no cdp enable ! interface Ethernet1/0 ip address 192.168.1.3 255.255.255.0 ip route-cache flow half-duplex no cdp enable ! interface Virtual-Template1 ip address 172.17.0.1 255.255.0.0 ip access-group 105 in ip access-group 106 out ip route-cache flow ip tcp header-compression no peer default ip address ppp authentication ms-chap-v2 ! no ip http server no ip http secure-server ip flow-export version 5 ip flow-export destination 172.16.0.2 9996 ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ! ip radius source-interface Ethernet0/0 access-list 105 dynamic test1 permit ip any any access-list 106 dynamic test2 permit ip any any no cdp run ! radius-server host 172.16.0.2 auth-port 1812 acct-port 1813 radius-server key xxx ! ! ! ! ! line con 0 line aux 0 line vty 0 4 password xxx ! ! end на сколько мне известно, вот тут например access-list 105 dynamic test1 permit ip any any если указать ip, то циска должна перекрыть все протоколы, а она icmp оставляет... а может и ещё что то остаётся... не проверял Вставить ник Quote
SergeiK Posted September 8, 2006 Posted September 8, 2006 lol permit ip any any - разрешить все отовсюду. запретить все - deny ip any any Вставить ник Quote
Yaten Posted September 8, 2006 Author Posted September 8, 2006 неа, permit ip any any это действие если ip адрес будет потом в динамич. списке, а не наоборот. Это динамический список. т.е. если написать deny, то после того как в этот список будет добавлен юзверь - он будет заблокирован. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.