On Mon, Mar 14, 2005 at 03:27:33PM +0200, Alexander Trotsai wrote:
VLv>FastEthernet3/0/0 is up, line protocol is up VLv> Internet address is A.A.A.A/24 VLv>[ ... ] VLv> Outgoing access list is fw-out
VLv>#sh ip access-lists fw-out VLv>Extended IP access list fw-out VLv> permit icmp host A.A.A.A any log VLv> permit ip any any VLv>попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :) VLv>Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S. VLv>Any comments? VLv>Спасибо.
1. traceroute - udp - если ты целился в log
Кстати it depends. Оригинальный BSD traceroute - udp, нынешний M$ - ICMP, тот, что в FBSD - может быть на выбор ICMP/UDP/TCP/GRE. Кошкин - udp.
2. насколько я помню local generated пакеты НЕ попадают под out acl - фича
Точно. -- Regards, Volodymyr. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message