Помогите с access-list

[terrible]

Хочу запретить ходить на smtp:

 

ip access-list extended denysmtp

deny tcp any any eq smtp

permit ip any any

 

Не срабатывае :( на smtp заходит

 

а если последнюю строчку убрать - то трафик вообще убивается. Где ошибка?

[fox_m]

Вешаете acl на правильный интерфейс? Покажите конфиг.

[terrible]

interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip access-group denysmtp in
ip virtual-reassembly
peer default ip address pool white
ppp authentication ms-chap ms-chap-v2
ppp ipcp dns 81.91.176.2 81.91.177.130

ip access-list extended denysmtp
deny   tcp any any eq smtp
permit ip any any

подключаюсь:

interface Virtual-Access2.35
ip unnumbered GigabitEthernet0/1
ip access-group denysmtp in
ip virtual-reassembly
peer default ip address pool white
ppp authentication ms-chap ms-chap-v2
ppp ipcp dns 81.91.176.2 81.91.177.130
service-policy input client2000k_in
service-policy output client2000k_out
end

 

Почему вообще на входящий трафик access-list не срабатывает :(

 

Даже если задать так:

ip access-list extended denysmtp

deny ip any any

 

в конфиге фигурировать будет, на фиртуальном интерфейсе фигурировать тоже будет, но трафик пропускает весь. Где ошибся?

Edited September 18, 2009 by terrible

[sol]

service-policy input client2000k_in

service-policy output client2000k_out

 

Вот тут и срабатывает правило permit. Так работать не будет. Снимите с темплейта ip access-group denysmtp in и допишите политику client2000k_in, что-бы в ней дропались smtp пакетики.

[terrible]

пробовал и без политик запускать - не работает на in

проблема походу кроется в IOS с PIX-ом, он на in вообще ни одно правило не отрабатывает. Временно сделал на out и забил