ACL não funciona com NAT

ACL não funciona com NAT

Estou estudando sobre rastreamento de pacotes Cisco, acabei de encontrar uma coisa estranha. Anexei o mapa de rede e a configuração abaixo.

insira a descrição da imagem aqui

1> Criei NAT para 10.2.0.0/16 e 10.3.0.0/16 para acessar o server0.

2> Criada ACL para 10.2.100.0 0.0.0.255 para não permitir acesso ao servidor www

Criou ACL para 10.3.100.0 0.0.0.255 para não permitir acesso ao servidor FTP

Agora vem o problema, o PC0 ainda consegue acessar o servidor www, assim como o PC2 consegue acessar o FTP.

Mas se eu remover o NAT, a ACL funciona.

Estou confuso, a ACL deve sempre funcionar antes do NAT, parece que o NAT contornou a ACL com seu endereço IP de saída sem ser filtrado. como isso acontece???

!
interface FastEthernet0/0
 ip address 10.1.50.1 255.255.0.0
 ip access-group 110 out
 ip nat outside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.2.1.1 255.255.0.0
 ip nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1.3
 encapsulation dot1Q 3
 ip address 10.3.1.1 255.255.0.0
 ip nat inside
!
interface Vlan1
 no ip address
 shutdown
!
ip nat pool internet 10.1.50.50 10.1.50.50 netmask 255.255.0.0
ip nat inside source list 2 pool internet overload
ip classless
!
ip flow-export version 9
!
!
access-list 2 permit 10.2.0.0 0.0.255.255
access-list 2 permit 10.3.0.0 0.0.255.255
access-list 110 deny tcp 10.2.100.0 0.0.0.255 host 10.1.1.1 eq www
access-list 110 deny tcp 10.3.100.0 0.0.0.255 host 10.1.1.1 eq ftp
access-list 110 permit ip any any
!
!
!

Responder1

A ACL 110 não se aplica porque quando o tráfego está fora do FastEthernet0/0 o NAT mudou o endereço de origem. Se você deseja bloquear o tráfego vindo do PC0 para o servidor Web, você deve mover o ACL 110 para FastEthernet0/1 como IN ACL

interface FastEthernet0/1
 ip address 10.2.1.1 255.255.0.0
 ip access-group 110 in
 ip nat inside
 duplex auto
 speed auto

É uma boa prática:

  1. Coloque a ACL padrão próxima à rede/host de destino.
  2. Coloque a ACL estendida próxima à rede/host de origem.

informação relacionada