The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Акцесс листом закрыть доступ к опред IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от Vladsky email(ok) on 05-Июл-11, 15:52 
коллеги,

надо закрыть доступ к отпределнным сайтам (соц сети) для опред IP в лок сети. в качестве маршрутизатора в сети выступает роутер 2801.

написал такой ACL

ip access-list extended social_net
deny   tcp 172.16.0.0 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
permit ip any any


и вешаю акцесс лист на внутренний интерфейс:

interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.16.0.254 255.255.255.0
ip access-group social_net in
ip nat inside
ip virtual-reassembly


правильно?

2 вопрос:

теперь DHCP хочу ограничить на кол-во выдаваемых IP

ip dhcp pool DATA
   network 172.16.0.0 255.255.255.0
   default-router 172.16.0.254
   dns-server 81.22.192.19 81.22.204.35


если пишу так
  network 172.16.0.0 255.255.255.192

не выдает адреса ( в чем трабл?


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от Aleks305 (ok) on 05-Июл-11, 21:12 


>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www

Зачем это если дальше и так стоит permit any any?


> и вешаю акцесс лист на внутренний интерфейс:
> interface FastEthernet0/0.1
>  encapsulation dot1Q 1 native
>  ip address 172.16.0.254 255.255.255.0
>  ip access-group social_net in
>  ip nat inside
>  ip virtual-reassembly
>  правильно?

А так все верно, но есть сомнения что решите проблему доступа к определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией URL
> 2 вопрос:
> теперь DHCP хочу ограничить на кол-во выдаваемых IP
> ip dhcp pool DATA
>    network 172.16.0.0 255.255.255.0
>    default-router 172.16.0.254
>    dns-server 81.22.192.19 81.22.204.35
> если пишу так
>   network 172.16.0.0 255.255.255.192
>  не выдает адреса ( в чем трабл?

а ip шлюза в этом случае разве входит в эту сеть при этом?
172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от Vladsky email(ok) on 05-Июл-11, 21:47 

>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
> Зачем это если дальше и так стоит permit any any?

опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель.

>[оверквотинг удален]
>>  ip access-group social_net in
>>  ip nat inside
>>  ip virtual-reassembly
>>  правильно?
> А так все верно, но есть сомнения что решите проблему доступа к
> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
> URL
> а ip шлюза в этом случае разве входит в эту сеть при
> этом?
> 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина

не подумал, да Вы правы, спасибо!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от Vladsky email(ok) on 05-Июл-11, 21:56 

>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
>> URL

не подскажете по этому подробней? как ограничить? задача запретить, но не всем

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от VolanD (ok) on 06-Июл-11, 06:14 
>>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
>>> URL
> не подскажете по этому подробней? как ограничить? задача запретить, но не всем

Proxy

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от VolanD (ok) on 06-Июл-11, 06:16 
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
>> Зачем это если дальше и так стоит permit any any?
> опред группе дать доступ к этим IP, другим запретить. ну и в
> остальной инет можно - така цель.

У Вас в конце стоит permit всем. Т.е. если какой-то трафик не попадает под запрещающие правила, то он будет разрешен.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Акцесс листом закрыть доступ к опред IP"  +/
Сообщение от Vladsky email(ok) on 07-Июл-11, 10:45 
>[оверквотинг удален]
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
>>> Зачем это если дальше и так стоит permit any any?
>> опред группе дать доступ к этим IP, другим запретить. ну и в
>> остальной инет можно - така цель.
> У Вас в конце стоит permit всем. Т.е. если какой-то трафик не
> попадает под запрещающие правила, то он будет разрешен.

вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так:


выдаю всем адреса из пула DHCP:

   network 172.16.0.128 255.255.255.128

им будет ограничен доступ к опред узлам в нете, другим нет )

ip access-list extended social_net
deny   tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
permit ip any any

interface fa 0/0.1
ip access-group social_net in

данный акцесс лист вешаю на внутренний интерфейс на вход.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру