|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Ilya Mazhara 2:5020/400 27 Feb 2002 13:15:39
To : Vladimir Litovka
Subject : Re: NTP & reflexive access lists
--------------------------------------------------------------------------------
In article <a5g44v$2724$1@news.kiev.sovam.com>, Vladimir Litovka
<doka@kiev.sovam.com> wrote:
Потому что локал генерейтд пакеты не проверяются по ACL и соотвественно
не создают временных записей во входящем ACL.
>Привет,
>
> такая странная вещь - описываю reflexive access list в такой форме:
>
> int Loop0
> ip address Y.Y.Y.Y 255.255.255.255
> !
> int BRI0
> description To Internet
> ip unnumbered Loop0
> [ ... ]
> ip access-group IN in
> ip access-group OUT out
> !
> ip access-list extended OUT
> permit ip any any reflect OUT-reflect
> !
> ip access-list extended IN
> permit ip <smth>
> evaluate OUT-reflection
> permit icmp <smth>
> deny ip any any log
> !
> ntp server Z.Z.Z.Z
> ntp source Loop0
>
> и указываю NTP cервера, по которым синхронизироваться. Так вот - кошка
> шлет запросы, сервер - их получает и отвечает, но на вызывающей кошке этих
> ответов не видно. При этом в OUT-reflect отсутствуют записи,
> соответствующие исходящим запросам и 'deny ip any any log' четко отмечает,
> что -
>
> list IN denied udp Z.Z.Z.Z(123) -> Y.Y.Y.Y(123), 3 packets
>
> хотя прочие UDP cессии работают прекрасно (например, DNS). И вот мне
> интересно - это ж вроде глюк, но замена IOS'а не помогла - 12.1(12b)
> сохранил такое-же поведение, как и 12.0(5)T1. Так может это я чего-то не
> понимаю?
>
--
+ Mazhara Ilya
In The Net We Trust + AspectSpb Vyatka, Cisco Product Manager
+ E-mail: willy@aspect.vyatka.ru
--------------------------------+ Voice/fax: (8332)-386446/386058
--- ifmail v.2.15dev5
* Origin: Aspect Spb (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: NTP & reflexive access lists 