Назгул
Сообщения: 2633
Благодарности: 345
|
Профиль
|
Отправить PM
| Цитировать
Все верно.
Небольшое замечание по поводу применения правила
ip access-list extended vlan103_internet
По сути вы им ограничиваете ОТВЕТЫ серверов клиентам.
Более грамотно сначала ограничить инициирующие запросы клиентов к серверам,
а составленное вами правило оставить как есть, т.е. оно ужесточает ограничения.
Однако основным ограничением должно быть ограничение на вход на 103 интерфейсе.
Мы его уже расматривали
вы его даже сами приводили
ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any
|
|
-------
Мы овладеваем более высоким стилем спора. Спор без фактов. Спор на темпераменте. Спор, переходящий от голословного утверждения на личность партнера. (c)Жванецкий
Отправлено: 13:47, 28-11-2008
| #47
|
