Всем привет!
Появилась нужда повесить ACL на LAN интерфейс,смотрящий в сторону хостов.
permit ip any 10.10.0.0 0.0.255.255 (1084 matches)
20 permit ip any 192.168.0.0 0.0.255.255 (1093 matches)
30 permit ip any 172.16.0.0 0.0.31.255
40 permit tcp any any eq 22
50 permit tcp any any eq domain
60 permit icmp any any (427 matches)
Открыт доступ ко всем локальным IP.Доступ в интернет - закрыт.
Но после этого правила, я заметил что компы не могут получить IP адрес от DHCP сервера, потому что DHCP discover использует broadcast и не попадает в permit этого ACL.
Я думаю, после того как добавлю эти правила - у меня все заработает.
110 permit udp any eq bootps any eq bootps
120 permit udp any eq bootpc any eq bootpc
Вопрос такой, какие еще правила нужно завести на ACL ,какие подводные камни могут быть еще..
↧