Jump to content

Cisco 3560 проблема с динамическим access-list

raveren
 Share

Recommended Posts

raveren

raveren

Posted
Posted (edited)

Недавно понадобилось воспользоваться динамическим access-list для блокировки ip-адресов.

 

Делаю следующее:

 

conf t
ip access-list ext 111
10 dynamic ALL deny ip any any

 

После этого блокируется все, даже доступ к коммутатору, а нужно чтобы блокировались ip-адреса занесенные в этот dynamic access-list.

 

#sh ip access-lists 111
Extended IP access list 111
    20 deny tcp any any eq 135
    30 deny tcp any any eq 137
    40 deny tcp any any eq 139
    50 deny tcp any any eq 445
    60 deny tcp any any eq 1433
    70 deny tcp any any eq 5900
    80 deny udp any any eq 135
    90 deny udp any any eq netbios-ns
    100 deny udp any any eq netbios-dgm
    110 permit icmp any any echo
    120 permit icmp any any echo-reply
    130 permit icmp any any packet-too-big
    140 permit icmp any any time-exceeded
    150 deny icmp any any
    200 permit ip any any

 

Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE, RELEASE SOFTWARE (fc2)

Edited by raveren
  • 1 year later...
Ko_stik

Ko_stik

Posted
Posted
Недавно понадобилось воспользоваться динамическим access-list для блокировки ip-адресов.

 

Делаю следующее:

 

conf t
ip access-list ext 111
10 dynamic ALL deny ip any any

 

После этого блокируется все, даже доступ к коммутатору, а нужно чтобы блокировались ip-адреса занесенные в этот dynamic access-list.

 

#sh ip access-lists 111
Extended IP access list 111
    20 deny tcp any any eq 135
    30 deny tcp any any eq 137
    40 deny tcp any any eq 139
    50 deny tcp any any eq 445
    60 deny tcp any any eq 1433
    70 deny tcp any any eq 5900
    80 deny udp any any eq 135
    90 deny udp any any eq netbios-ns
    100 deny udp any any eq netbios-dgm
    110 permit icmp any any echo
    120 permit icmp any any echo-reply
    130 permit icmp any any packet-too-big
    140 permit icmp any any time-exceeded
    150 deny icmp any any
    200 permit ip any any

 

Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(37)SE, RELEASE SOFTWARE (fc2)

 

Разобрались с проблемой?

 

аналогичная ситуация...

как только вешаю акцес лист на какой либо интерфейс (будт то gi или vlan ) трафик на интерфейсе весь блокируется...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.