да, именно так. Пакеты, порожденные внутри маршрутизатора, не подпадают под действие ACL'ей.
/doka
-----Original Message-----
From: owner-uanog-outgoing@uanog.kiev.ua
[mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Maks
Nefedchenko
Sent: Monday, March 14, 2005 3:32 PM
To: uanog@uanog.kiev.ua
Subject: [uanog] Re: what the e2fsck'ing?
Привет!
Вроде как и недолжны попрадать под output acl пакеты,
порожденные роутером.
P.S.: Гмм. Надо будет книжку про структуру IOS перечитать..
On Mon, 14 Mar 2005, Vladimir Litovka (vlitovka) wrote:
Hi,
я брежу?! -
FastEthernet3/0/0 is up, line protocol is up
Internet address is A.A.A.A/24
[ ... ]
Outgoing access list is fw-out
#sh ip access-lists fw-out
Extended IP access list fw-out
permit icmp host A.A.A.A any log
permit ip any any
попытка трейсраутить с этого маршрутизатора на внешний мир
никак не отражается ни в matches команды show, ни в логах.
Это касается всякого трафика, порожденного _внутри_
маршрутизатора? Собственно, началось все с попытки настроить
рефлексивный ACL... что-то у меня в голове крутится какое-то
воспоминание о том, что такой трафик обрабатывается с
особенностями, но не настолько же, чтобы в outgoing
access-list'ах не матчиться! :)
Ладно, идем дальше... Всяко бывает - отключил CEF. Same
shit, different day... Смеха ради сменил permit icmp на deny
icmp - ни фига не денаится, трейс работает. 75-я платформа, 12.0(29)S.
Any comments?
Спасибо.
/doka
===================================================================
uanog mailing list.
To Unsubscribe: send mail to majordomo@uanog.kiev.ua
with "unsubscribe uanog" in the body of the message
--
WB,
Maks Nefedchenko
NM17-RIPE
===================================================================
uanog mailing list.
To Unsubscribe: send mail to majordomo@uanog.kiev.ua
with "unsubscribe uanog" in the body of the message
Vladimir Litovka (vlitovka)