форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Акцесс листом закрыть доступ к опред IP"	+/–
Сообщение от Vladsky (ok) on 05-Июл-11, 15:52
коллеги, надо закрыть доступ к отпределнным сайтам (соц сети) для опред IP в лок сети. в качестве маршрутизатора в сети выступает роутер 2801. написал такой ACL ip access-list extended social_net deny   tcp 172.16.0.0 0.0.0.127 93.186.224.0 0.0.0.255 eq www log deny   tcp 172.16.0.0 0.0.0.127 87.240.188.0 0.0.0.255 eq www log deny   tcp 172.16.0.0 0.0.0.127 217.20.145.0 0.0.0.255 eq www log deny   tcp 172.16.0.0 0.0.0.127 217.20.144.0 0.0.0.255 eq www log deny   tcp 172.16.0.0 0.0.0.127 217.20.149.0 0.0.0.255 eq www log deny   tcp 172.16.0.0 0.0.0.127 217.20.152.0 0.0.0.255 eq www log permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www permit ip any any и вешаю акцесс лист на внутренний интерфейс: interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 172.16.0.254 255.255.255.0 ip access-group social_net in ip nat inside ip virtual-reassembly правильно? 2 вопрос: теперь DHCP хочу ограничить на кол-во выдаваемых IP ip dhcp pool DATA    network 172.16.0.0 255.255.255.0    default-router 172.16.0.254    dns-server 81.22.192.19 81.22.204.35 если пишу так   network 172.16.0.0 255.255.255.192 не выдает адреса ( в чем трабл?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Акцесс листом закрыть доступ к опред IP"	+/–
Сообщение от Aleks305 (ok) on 05-Июл-11, 21:12
>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www >  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www Зачем это если дальше и так стоит permit any any? > и вешаю акцесс лист на внутренний интерфейс: > interface FastEthernet0/0.1 >  encapsulation dot1Q 1 native >  ip address 172.16.0.254 255.255.255.0 >  ip access-group social_net in >  ip nat inside >  ip virtual-reassembly >  правильно? А так все верно, но есть сомнения что решите проблему доступа к определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией URL > 2 вопрос: > теперь DHCP хочу ограничить на кол-во выдаваемых IP > ip dhcp pool DATA >    network 172.16.0.0 255.255.255.0 >    default-router 172.16.0.254 >    dns-server 81.22.192.19 81.22.204.35 > если пишу так >   network 172.16.0.0 255.255.255.192 >  не выдает адреса ( в чем трабл? а ip шлюза в этом случае разве входит в эту сеть при этом? 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Акцесс листом закрыть доступ к опред IP"	+/–
	Сообщение от Vladsky (ok) on 05-Июл-11, 21:47
	>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www >>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www > Зачем это если дальше и так стоит permit any any? опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель. >[оверквотинг удален] >>  ip access-group social_net in >>  ip nat inside >>  ip virtual-reassembly >>  правильно? > А так все верно, но есть сомнения что решите проблему доступа к > определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией > URL > а ip шлюза в этом случае разве входит в эту сеть при > этом? > 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина не подумал, да Вы правы, спасибо!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Акцесс листом закрыть доступ к опред IP"	+/–
	Сообщение от Vladsky (ok) on 05-Июл-11, 21:56
	>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией >> URL не подскажете по этому подробней? как ограничить? задача запретить, но не всем
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Акцесс листом закрыть доступ к опред IP"	+/–
	Сообщение от VolanD (ok) on 06-Июл-11, 06:14
	>>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией >>> URL > не подскажете по этому подробней? как ограничить? задача запретить, но не всем Proxy
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Акцесс листом закрыть доступ к опред IP"	+/–
	Сообщение от VolanD (ok) on 06-Июл-11, 06:16
	>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www >>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www >> Зачем это если дальше и так стоит permit any any? > опред группе дать доступ к этим IP, другим запретить. ну и в > остальной инет можно - така цель. У Вас в конце стоит permit всем. Т.е. если какой-то трафик не попадает под запрещающие правила, то он будет разрешен.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Акцесс листом закрыть доступ к опред IP"	+/–
	Сообщение от Vladsky (ok) on 07-Июл-11, 10:45
	>[оверквотинг удален] >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www >>> Зачем это если дальше и так стоит permit any any? >> опред группе дать доступ к этим IP, другим запретить. ну и в >> остальной инет можно - така цель. > У Вас в конце стоит permit всем. Т.е. если какой-то трафик не > попадает под запрещающие правила, то он будет разрешен. вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так: выдаю всем адреса из пула DHCP:    network 172.16.0.128 255.255.255.128 им будет ограничен доступ к опред узлам в нете, другим нет ) ip access-list extended social_net deny   tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0.255 eq www log deny   tcp 172.16.0.128 0.0.0.127 87.240.188.0 0.0.0.255 eq www log deny   tcp 172.16.0.128 0.0.0.127 217.20.145.0 0.0.0.255 eq www log deny   tcp 172.16.0.128 0.0.0.127 217.20.144.0 0.0.0.255 eq www log deny   tcp 172.16.0.128 0.0.0.127 217.20.149.0 0.0.0.255 eq www log deny   tcp 172.16.0.128 0.0.0.127 217.20.152.0 0.0.0.255 eq www log permit ip any any interface fa 0/0.1 ip access-group social_net in данный акцесс лист вешаю на внутренний интерфейс на вход.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема