да, именно так. Пакеты, порожденные внутри маршрутизатора, не подпадают под действие ACL'ей. /doka
-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Maks Nefedchenko Sent: Monday, March 14, 2005 3:32 PM To: uanog@uanog.kiev.ua Subject: [uanog] Re: what the e2fsck'ing?
Привет!
Вроде как и недолжны попрадать под output acl пакеты, порожденные роутером.
P.S.: Гмм. Надо будет книжку про структуру IOS перечитать..
On Mon, 14 Mar 2005, Vladimir Litovka (vlitovka) wrote:
Hi,
я брежу?! -
FastEthernet3/0/0 is up, line protocol is up Internet address is A.A.A.A/24 [ ... ] Outgoing access list is fw-out
#sh ip access-lists fw-out Extended IP access list fw-out permit icmp host A.A.A.A any log permit ip any any
попытка трейсраутить с этого маршрутизатора на внешний мир никак не отражается ни в matches команды show, ни в логах. Это касается всякого трафика, порожденного _внутри_ маршрутизатора? Собственно, началось все с попытки настроить рефлексивный ACL... что-то у меня в голове крутится какое-то воспоминание о том, что такой трафик обрабатывается с особенностями, но не настолько же, чтобы в outgoing access-list'ах не матчиться! :)
Ладно, идем дальше... Всяко бывает - отключил CEF. Same shit, different day... Смеха ради сменил permit icmp на deny icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S.
Any comments?
Спасибо.
/doka
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
-- WB, Maks Nefedchenko NM17-RIPE
=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message