Estou estudando sobre rastreamento de pacotes Cisco, acabei de encontrar uma coisa estranha. Anexei o mapa de rede e a configuração abaixo.
1> Criei NAT para 10.2.0.0/16 e 10.3.0.0/16 para acessar o server0.
2> Criada ACL para 10.2.100.0 0.0.0.255 para não permitir acesso ao servidor www
Criou ACL para 10.3.100.0 0.0.0.255 para não permitir acesso ao servidor FTP
Agora vem o problema, o PC0 ainda consegue acessar o servidor www, assim como o PC2 consegue acessar o FTP.
Mas se eu remover o NAT, a ACL funciona.
Estou confuso, a ACL deve sempre funcionar antes do NAT, parece que o NAT contornou a ACL com seu endereço IP de saída sem ser filtrado. como isso acontece???
!
interface FastEthernet0/0
ip address 10.1.50.1 255.255.0.0
ip access-group 110 out
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.0.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1.3
encapsulation dot1Q 3
ip address 10.3.1.1 255.255.0.0
ip nat inside
!
interface Vlan1
no ip address
shutdown
!
ip nat pool internet 10.1.50.50 10.1.50.50 netmask 255.255.0.0
ip nat inside source list 2 pool internet overload
ip classless
!
ip flow-export version 9
!
!
access-list 2 permit 10.2.0.0 0.0.255.255
access-list 2 permit 10.3.0.0 0.0.255.255
access-list 110 deny tcp 10.2.100.0 0.0.0.255 host 10.1.1.1 eq www
access-list 110 deny tcp 10.3.100.0 0.0.0.255 host 10.1.1.1 eq ftp
access-list 110 permit ip any any
!
!
!
Responder1
A ACL 110 não se aplica porque quando o tráfego está fora do FastEthernet0/0 o NAT mudou o endereço de origem. Se você deseja bloquear o tráfego vindo do PC0 para o servidor Web, você deve mover o ACL 110 para FastEthernet0/1 como IN ACL
interface FastEthernet0/1
ip address 10.2.1.1 255.255.0.0
ip access-group 110 in
ip nat inside
duplex auto
speed auto
É uma boa prática:
- Coloque a ACL padrão próxima à rede/host de destino.
- Coloque a ACL estendida próxima à rede/host de origem.