[inet-admins] Re: [inet-admins] Re: [inet-admins] netflow export и ACL

["Denis V. Schapov" <dschapov@dsi.ru>]

> В любом случае, я ничего специально не делал. Более того, на машину,
> чей 23 порт закрыт access-list-ом наглухо, я спокойно могу зайти
> телнетом с кошки. А вот netflow export пакеты (9111/udp) почему-то
> отфильтровываются.

Все правильно, так и должно быть, то есть фильтр действует на эти пакеты.
Access lists filter network traffic by controlling whether _routed_ packets are 
forwarded or blocked at the router's interfaces. 
If the access list is outbound, after receiving and routing a packet to the 
outbound interface, the software checks the access list's criteria statements 
for a match. If the packet is permitted, the software transmits the packet. If 
the packet is denied, the software discards the packet.

В данном случае, пакеты от netflow как раз routed (так, видимо, устроен IOS). 
Одна подсистема (netflow) отдает дальше другой пакетики на доставку, через 
внутрениий интерфейс (loopback), пакет дальше нужно отроутить.

Пример: почему voice-gw нельзя эксплуатировать без команда 'ip routing' ? ;)

----
Denis V. Schapov
JSC "DSI"
Irkutsk, Russia
dschapov@dsi.ru
+7 3952 510506










"²КZvh╖╟┴Мz╧ч╣╖zк&j)b· 
b╡с┼{Z┼w²o!╡п╗·w°╤*'!#лj)n·к⌡╠йБmХ╖zж² )Л╤┐▌┼щ╒j"²Зjкk╨'Р╒Л·шh╙Х╜╥!┼В╒╠╖zк"nW╗·m╖ЪБ²Зjкk╩ЗНЁЬ╖zж² f