Пытаюсь разобраться в access листах, есть такая схема сети:
Для примера, хочу сделать, чтобы для сети 192.168.2.0 был доступен только веб-сервер (80 порт) и больше ничего, даже пинг, а для хоста 192.168.2.100 был доступ по всем портам.
Составил такой access-list:
spoilerExtended IP access list TO-WEB-SERVER
10 permit ip host 192.168.2.100 host 12.12.2.2 // Разрешаем всё с хоста 192.168.2.100
20 permit tcp 192.168.2.0 0.0.0.255 host 12.12.2.2 eq www // Для остальной сети 192.168.2.0 доступ только по 80 порту
30 deny ip 192.168.2.0 0.0.0.255 host 12.12.2.2 // Запрет остальных портов из сети 192.168.2.0 к хосту 12.12.2.2
40 permit ip any any (16 match(es)) // Разрешаем всё остальное
Повесил его на исходящий интерфейс из локальной сети:
spoilerinterface GigabitEthernet0/1
ip address 12.12.1.1 255.255.255.252
ip access-group TO-WEB-SERVER out
ip nat outside
duplex auto
speed auto
Но при этом с хоста 192.168.2.2 помимо HTTP работает еще и ping, почему?
