Элтекс

Добрый день.
Конфигурация : VLAN 10 192.168.10.0 /24 - серверная, VLAN 20 192.168.20.0 /24 - пользователи , VLAN 50 192.168.50.0 /24 - гости. Шлюз по умолчанию ведет в Интернет.
Нужно, чтобы гости могли выходить в Интернет и не могли обращаться в VLAN 20, а в VLAN 10 только получать ответы от DNS и NTP серверов.
Начал с варианта:
ip access-list ext 50
permit udp any any 192.168.10.0 0.0.0.255 53 ace-priority 20
permit udp any any 192.168.10.0 0.0.0.255 123 ace-priority 30
permit tcp any any 192.168.10.0 0.0.0.255 53 ace-priority 40
deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 200

повесил этот лист на вход VLAN 50:
int vlan 50
service-acl input 50

Запрещение не работает. С гостевого ПК 192.168.50.17 могу по рдп заходить на 192.168.10.8.

хм.. Создал асл заново. Добавил только 2 разрешения на 192.168.10.1 0.0.0.0 на 53 порт:
console(config)#no ip access-list 50
Cannot delete 50, acl does not exist.
console(config)#ip access-list ext 50
console(config-ip-al)#$ tcp any any 192.168.10.1 0.0.0.0 53 ace-priority 20
console(config-ip-al)#$it udp any any 192.168.10.1 0.0.0.0 53 ace-priority 30
console(config-ip-al)#ex
console(config)#interface vlan 50
console(config-if)#service-acl input 50

По-прежнему все доступно гостям...

Здравствуйте

Запрещение не работает. С гостевого ПК 192.168.50.17 могу по рдп заходить на 192.168.10.8.

Это странно. Первый вариант ACL, на первый взгляд, рабочий.

Попробуйте только в ACL добавить правила
deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 200
Они разрешат только выход в интернет. Будут ли при этом пинговаться с 50 влана другие хосты в 10, 20, 50 вланах?
Если не будут, давайте по очереди добавлять правила из первого примера в ACL и с каждым добавление проверять работоспособность.

console(config)#no ip access-list extended 50
This action may cause a brief interruption of ACL/policy services.
console(config)#ex
console#sh access-lists 50
ACL "50" does not exist
console#conf
console(config)#ip access-list extended 50
console(config-ip-al)#deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
console(config-ip-al)#permit ip any any any any ace-priority 200
console(config-ip-al)#ex
console(config)#int vl 50
console(config-if)#service-acl input 50
console(config-if)#

Ничего не поменялось...Гости как дома (

Покажите show ver
как конкретно проверяете? Какой IP с какого пингуете? Прошу пока пингом проверять.

console#sh ver
Active-image: flash://system/images/_image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44
Inactive-image: flash://system/images/image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44

Проверяю так:
вношу изменения в конфигурацию (кончается навешиванием списка 50 на влан 50 ), пинг с 192.168.50.17 на 192.168.10.8

Все еще надеюсь на помощь

Добрый день.

Проверил на стенде. Работает и самый первый ACL, и предложенный мной ранее
Вы прямо пингом проверяете? И пинг проходит?

Прошу завести заявку по форме
https://eltex-co.ru/support/
Туда приложить вывод
show tech-sup (в момент проблемы)
и указать к каким портам подключены хосты 192.168.50.17 и 192.168.10.8