|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Yuri Selivanov 2:5020/400 21 Nov 2002 17:28:28
To : Yuri Selivanov
Subject : Re: Вопрос по Cisco ACL.
--------------------------------------------------------------------------------
Yuri Selivanov <uri@tomsknet.ru> wrote:
> Andrej A. Shidenko <ashidenko@pn.ukrtelecom.net> wrote:
>> Hi.
>>> >> >> > ACL работает замечательно, но хочется, чтоб он пакеты не дропал, а
>>> >> > реджектил
>>> >> >> > (высылал что-то вроде TCP RST или ICMP UNREACH).
>>> >> >> > Можно ли это как-то реализовать ?
>>> >> >>
>>> >> >> ip unreachables на интерфейсе
>>> >>
>>> >> > Стоит.
>>> >>
>>> >> Hа _каком_ интерфейсе?
>>>
>>> > Естественно на том, куда ацл прикручен. Правда он там по дефолту, т.е.
>> когда
>>> > есть - в конфиге ничего, а когда нет - no ip unre
>>>
>>> Почему "естественно"? ip unreachables должен стоять именно на
>>> _исходящем_ в сторону источника интерфейсе.
>>>
>> Давайте не будем разводить ненужный флейм, а ?
>
> Hикто этого не делает. Я всего лишь хотел сказать, где надо включать
> ip unreach. Другими словами, если acl висит, скажем, на e0 и режет трафик,
> приходящий с s0, то включение/выключение ip unreach на e0 ничего не даст.
О! Обнаружил тут такую фишку, что на msfc состояние ip unreach важно
для обеих интерфейсов -- как того, на котором висит acl, так и исходящего.
А вот на тестовой 25xx только -- исходящего.
>> ip unre у меня на ВСЕХ интерфейсах.
>> Конструктивные советы будут ?
>
> Hа основе чего делается вывод, что кошка не генерит icmp 3/13?
>
>> --
>> Andrej A. Shidenko
>> ashidenko@pn.ukrtelecom.net
>>
>>
>>
>> Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
>
--
Best Regards,
Yuri Selivanov [URI2-RIPE]
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
