https://ns.opennet.dev/openforum/vsluhforumID6/1283.html День добрый!<br>Впервые настраиваю acl,<br><br>Дано. На одном порту висит несколько ip-шников (через свитч)<br>Для одного из них (например 192.168.70.247) нужно ограничить все, кроме локалки и одного сайта (83.222.240.231)<br><br>Делаю так:<br>ip access-list extended porte_block<br> deny tcp host 192.168.70.247 any eq www<br> permit ip 192.168.70.0 0.0.0.255 any<br> permit tcp host 192.168.70.247 host 83.222.240.231<br><br>В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа не имеет.<br><br>Вопрос: где косяк?<br><br>Заранее благодарен.<br>С уважением.<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#15 Fri, 28 Mar 2014 12:24:33 GMT <br>&gt; Ну я вашей ситуации не знаю, так что причин может быть миллион. <br>&gt; Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки <br>&gt; на сторонние ресурсы с другим ip и браузер просто ждет их <br>&gt; загрузки с определенным таймаутом.<br><br>Рано я радовался. При попытке прописать более одного ip-шника, перестает открывать нужные сайты.<br>Делал, как Вы сказали<br>Extended IP access list porte_block_test<br> 10 permit tcp host 192.168.70.154 host 94.100.180.70<br> 20 permit tcp host 192.168.70.114 host 94.100.180.70<br> 30 permit tcp host 192.168.70.154 host 82.222.240.231<br> 40 permit tcp host 192.168.70.114 host 82.222.240.231<br> 50 deny tcp host 192.168.70.154 any eq www<br> 50 deny tcp host 192.168.70.114 any eq www<br> 50 permit ip 192.168.70.0 0.0.0.255 any (26 matches)<br><br>При такой схеме сайт по второму адресу не открывается, почему-то.<br><br>С уважением.<br><br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#14 Thu, 27 Mar 2014 13:42:46 GMT &gt;&gt; Ну я вашей ситуации не знаю, так что причин может быть миллион.<br>&gt;&gt; Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки <br>&gt;&gt; на сторонние ресурсы с другим ip и браузер просто ждет их <br>&gt;&gt; загрузки с определенным таймаутом.<br>&gt; Еще раз огромная благодарность за помощь.<br>&gt; А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?<br>&gt; Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и <br>&gt; разрешение на все остальные ip-шники.<br>&gt; Заранее спасибо.<br>&gt; С уважением.<br><br>Делать можно что угодно, просто соблюдайте правила построения acl<br>Почитайте например http://habrahabr.ru/post/121806/ или http://www.cisco.com/cisco/web/support/RU/9/92/92035_confaccesslists.html<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#13 Thu, 27 Mar 2014 13:13:59 GMT <br><br>&gt; Ну я вашей ситуации не знаю, так что причин может быть миллион. <br>&gt; Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки <br>&gt; на сторонние ресурсы с другим ip и браузер просто ждет их <br>&gt; загрузки с определенным таймаутом.<br><br>Еще раз огромная благодарность за помощь.<br>А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?<br>Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и разрешение на все остальные ip-шники.<br><br>Заранее спасибо.<br>С уважением.<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#12 Thu, 27 Mar 2014 11:31:55 GMT &gt;[оверквотинг удален]<br>&gt; Делаю так: <br>&gt; ip access-list extended porte_block <br>&gt; deny tcp host 192.168.70.247 any eq www <br>&gt; permit ip 192.168.70.0 0.0.0.255 any <br>&gt; permit tcp host 192.168.70.247 host 83.222.240.231 <br>&gt; В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа <br>&gt; не имеет.<br>&gt; Вопрос: где косяк?<br>&gt; Заранее благодарен.<br>&gt; С уважением.<br><br>в вашем случае надо сначала нпаписать строчки разрешающие что вам нужно а после них просто запретить все (по умолчанию посл строка запрещает все, писать ее надо только для того чтобы не забыть об этом потом когда будуте лазить что то менять)<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#11 Wed, 26 Mar 2014 12:00:01 GMT &gt; !!!!! Благодарствую!!!! Спасибо огромное!<br>&gt; Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта?<br>&gt; Заранее спасибо.<br>&gt; С уважением.<br><br>Ну я вашей ситуации не знаю, так что причин может быть миллион. Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки на сторонние ресурсы с другим ip и браузер просто ждет их загрузки с определенным таймаутом.<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#10 Wed, 26 Mar 2014 08:13:10 GMT &gt; В acl работает правило первого вхождения, надо просто поменять местами правила: <br>&gt; ip access-list extended porte_block <br>&gt; permit tcp host 192.168.70.247 host 83.222.240.231 <br>&gt; deny tcp host 192.168.70.247 any eq www <br>&gt; permit ip 192.168.70.0 0.0.0.255 any <br><br>по условию было нужно "ограничить все, кроме локалки и одного сайта" (разрешить только локалку и один сайт). У Вас "ограничить все www, кроме одного сайта".<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#9 Wed, 26 Mar 2014 06:42:07 GMT <br><br>&gt; В acl работает правило первого вхождения, надо просто поменять местами правила: <br>&gt; ip access-list extended porte_block <br>&gt; permit tcp host 192.168.70.247 host 83.222.240.231 <br>&gt; deny tcp host 192.168.70.247 any eq www <br>&gt; permit ip 192.168.70.0 0.0.0.255 any <br><br>!!!!! Благодарствую!!!! Спасибо огромное!<br>Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта?<br><br>Заранее спасибо.<br>С уважением.<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#8 Wed, 26 Mar 2014 06:35:01 GMT &gt;&gt; &lt;localnet invertmask&gt; 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0 <br>&gt; Хм. Он в данном случае маску не предлагает прописать <br>&gt; 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?<br>&gt; A.B.C.D Destination address <br>&gt; any Any destination host <br>&gt; host A single destination host <br>&gt; Только эти варианты.<br>&gt; С уважением.<br><br>Потому что Вам расшифровали так мое сообщение. Localnet - адрес локальной сети, invertmask - обратная маска.<br> https://ns.opennet.dev/openforum/vsluhforumID6/1283.html#7 Wed, 26 Mar 2014 06:29:45 GMT <br>&gt; &lt;localnet invertmask&gt; 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0 <br><br>Хм. Он в данном случае маску не предлагает прописать<br><br>3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?<br> A.B.C.D Destination address<br> any Any destination host<br> host A single destination host<br><br>Только эти варианты.<br><br>С уважением.<br><br>