Как правильно настроить acl между vlan?

Question

[m2_viktor]

Здравствуйте дана сеть 10.1.0.0/16 и схема:

Требуется:
1. Разрешить vlan2 запрашивать и получать конфигурацию по dhcp
2. Разрешить vlan2 делать запрос к dns для разрешения имен и получать ответ
3. Разрешить vlan2 любой трафик до любого назначения(например web-сервер ya.ru), кроме 10.1.0.0/16(например до vlan3 любой трафик должен быть запрещен).

Что я пробовал делать:

ip access-list extended mylist
 permit udp any host 255.255.255.255 eq bootps
 permit udp any host 10.1.254.4 eq domain
 deny ip any 10.1.0.0 0.0.255.255
 permit ip any any
!
int vlan2
 ip access-group mylist out
!

В итоге ПК из vlan2 получает конфигурацию по dhcp, но не получает ответа от web-сервера ya.ru по http и icmp. Обращался по fqdn и ip. Без применения acl веб сервер естественно доступен.

P.S. В качестве ответа хотелось бы видеть правильный acl, без рекомендаций по оптимизации сети, и прочего не нужного текста, кроме самого acl =)

Answer 1

[Дмитрий Шицков]

У вас подсеть vlan2 попадает в диапазон
deny ip any 10.1.0.0 0.0.255.255

Попробуйте исправить так:
permit ip any 10.1.2.0 0.0.0.255
deny ip any 10.1.0.0 0.0.255.255

Comments

[m2_viktor]

Если информация из заголовка пакета попадает под первое правило, то все последующие правила не распространяются на этот пакет.

Я уже сделал по другому, вместо ip access-group mylist out, поставил in.

Это решило мою проблему, правда мне до сих пор не понятно про in и out, какие пакеты считать входящими, а какие выходящими, и может ли пакет входить на интерфейс не со стороны подключаемой к нему сети, а со стороны других интерфейсов маршрутизатора.

[m2_viktor]

Все понял, ни чего не мешало из сети 10.1.2.0/24 отправить любой ip пакет до любого назначения, но! Когда dns-reply хотел выйти из интерфейса vlan2, чтобы попасть к хосту из 10.1.2.0/24, он дропался по deny ip any 10.1.0.0 0.0.255.255 =)