Access List (ACL) Deny

[yubi]

Acaba bi yerde yanlış bişey mi yaptım?
Packet tracer'da NAT simülasyonu hazırladım. bunun için standart access-list yazdım. PC0'dan 'Internet'e ulaşamam gerekiyor. Ama ulaşılıyor. access-list durumuna baktım. En ilginci de burası ya. Her denemede 'deny' sayısı artıyor. Ama her denemede de ulaşabiliyorum. Nerde yanlış yapıyorum?

şifreler: cisco

[AcLMasteR]

hocam siz orda denemeyi pc0 dan internete mi yapıyosunuz ?
şimdi orda access listin amacı onu engellemek değilki o networkten gelen ip yi nat etmemek yada etmek.diikkat edin paketlere bakın deny dediğinide source ip adresi 192.168.3.50 olrak kalıyo siz deny yazan satırı silin o zman nat olduğunu göreceksiniz.
her denediğinizde matches artmış olması normal.
Acl lelerde istediği satırı bulduktan sonra alt satıra bakmaz bunuda göz önünde tutarsak normal gözüküyo mathcheslerin artması.
gerçek hayatta olsanız ulaşamıcaksınız çünkü private ip ler için acl yazılır hatta telekomun private ip leri metro ethernete yönelndirdiğine dair bi yazı okumuştum.
burda ulaşmanız normal private ip li paketleri yakalaması için acl yazmalısınız.
en iyisi şöyle yapın NAT ı pc ye yakın olan routerde yazın private ip leri kabul etmeyen acl yide internete giden routerde yazın.
nat ı oluşturarak deneyin birde nat yapmadan bakın o zaman oluyomu.

[yubi]

Haklısın. Yani amacıma ulaşmışım farkında değilim Şimdi anladım.
Gerçek bir uygulama olsaydı 192.168.3.50 yine dışarı çıkacaktı aynı şimdiki gibi. Ama ISP'ler private(özel) adresleri engelledikleri için internete girişine izin verilmeyecekti. Hıımmmm.

Teşekkürler.

[AcLMasteR]

hatta aynı acl yi internete çıkan routeri f0/1 out una koyun çıkmazda buda farklı çözüm kolaygelsin...

[yubi]

Bir sorum daha olacak bu topoloji ile ilgili. Sw2 ile Sw3 arasına bir bağlantı daha yaptım (redundant). Sw2'nin f0/8 (vlan20) ile Sw3'ün f0/8 (vlan 10)'ün vlan'ları farklı. R2 üzerinden de encapsulation yaptım. Bu durumda PC1 ile PC2'nin farklı vlanlarda olduğu için haberleşememesi gerekmiyor mu?
R2'deki encapsulation sayesinde mi haberleşebiliyorlar?

[hakan]

nat pc' ye en yakın router' a değil... servis sağlayıcının routerına en yakın routera yapılır ki her yönden gelen istekler isp routerından geçerken NAT' lansın.

[AcLMasteR]

Bir sorum daha olacak bu topoloji ile ilgili. Sw2 ile Sw3 arasına bir bağlantı daha yaptım (redundant). Sw2'nin f0/8 (vlan20) ile Sw3'ün f0/8 (vlan 10)'ün vlan'ları farklı. R2 üzerinden de encapsulation yaptım. Bu durumda PC1 ile PC2'nin farklı vlanlarda olduğu için haberleşememesi gerekmiyor mu?
R2'deki encapsulation sayesinde mi haberleşebiliyorlar?

farklı vlan daki device lar ancak router ile haberleşebilir yada layer 3 bi switch olması gerekir.ayrıca hakan hocama da teşekkür ederim bizi uyardığı için

[yubi]

Teşekkürler.