https://www.opennet.me/openforum/vsluhforumID6/18258.html Помогите пожалуйста, не знаю как сделать=)<br>Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать через стандартный аксес-лист, а как это сделать через расширенный, ведь 2 листа на 1 интерфейс не повесишь.Как это сделать?<br>Заранее спасибо!<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#24 Tue, 03 Mar 2009 06:48:38 GMT &gt;Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку: <br>&gt;<br>&gt;<br>&gt;ip nat inside source list 100 interface FastEthernet0/0 overload <br>&gt;<br>&gt;Указать тот лист в котором прописаны запреты и разрешения. <br><br>вообще то тут нужно указывать лист внутренних адресов, т.е. пул адресов юзеров.<br><br>ip nat inside source list 1 interface FastEthernet0/0 overload<br>!<br>access-list 1 permit 192.168.1.0 0.0.0.255<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#23 Tue, 03 Mar 2009 06:02:47 GMT Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку:<br><br>ip nat inside source list 100 interface FastEthernet0/0 overload<br><br>Указать тот лист в котором прописаны запреты и разрешения.<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#22 Mon, 02 Mar 2009 11:50:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта) <br>&gt;<br>&gt;Сделал так: <br>&gt;создал еще один лист <br>&gt;Extended IP access list 102 <br>&gt; 10 permit ip host 192.168.123.9 any <br>&gt; 20 deny ip any host 195.82.146.114 <br>&gt; 30 permit ip any any (7376 matches) <br>&gt;и повесил его на fe0/0 как in, 110 лист убрал. <br>&gt;в итоге host 195.82.146.114 пингуют все, а так не должно быть. <br><br>не сработало правило deny ip any host 195.82.146.114 ни разу. может в адресах ошибся?<br>видно, что всегда срабатывает 30 permit ip any any . целых 7376 matches.<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#21 Mon, 02 Mar 2009 11:20:34 GMT &gt;[оверквотинг удален]<br>&gt;на внутреннем интерфейсе? <br>&gt;если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно <br>&gt;пишешь. <br>&gt;<br>&gt;Пример: запретить доступ на хост 195.82.146.114 : <br>&gt;<br>&gt;access-list 110 deny ip any host 195.82.146.114 <br>&gt;<br>&gt;<br>&gt;после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта) <br><br>Сделал так:<br>создал еще один лист<br>Extended IP access list 102<br> 10 permit ip host 192.168.123.9 any<br> 20 deny ip any host 195.82.146.114<br> 30 permit ip any any (7376 matches)<br>и повесил его на fe0/0 как in, 110 лист убрал.<br>в итоге host 195.82.146.114 пингуют все, а так не должно быть.<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#20 Mon, 02 Mar 2009 10:49:16 GMT Сотри все и сделай так:<br><br>access-list 110 permit ip 192.168.123.0 0.0.0.255 any<br>access-list 110 deny ip host 195.82.146.114 any<br>access-list 110 deny ip 93.186.227.120 0.0.0.7 any<br>access-list 110 deny ip 212.119.216.0 0.0.0.7 any<br>access-list 110 deny ip 93.186.224.232 0.0.0.7 any<br>access-list 110 deny ip 93.186.226.4 0.0.0.3 any<br>access-list 110 deny ip 194.186.55.168 0.0.0.3 any<br>access-list 110 deny ip 93.186.226.128 0.0.0.3 any<br>access-list 110 deny ip host 93.186.225.6 any<br>access-list 110 deny ip 93.186.225.208 0.0.0.7 any<br>access-list 110 deny ip host 94.100.179.250 any<br>access-list 110 permit ip any any<br><br><br>и вообще , что это ты за внешние сетки и хосты режешь на внутреннем интерфейсе?<br>если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно пишешь.<br><br>Пример: запретить доступ на хост 195.82.146.114 :<br><br>access-list 110 deny ip any host 195.82.146.114 <br><br>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#19 Mon, 02 Mar 2009 10:07:03 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв <br>&gt;<br>&gt;deny tcp any any <br>&gt; <br>&gt; <br>&gt; // остальным нет <br>&gt;<br>&gt;вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние <br>&gt;адреса не обозначеные пермит будут на входе в циску отброшены. <br><br>При таком раскладе в инет залезают, те кто в пермите, а мне нужно чтобы лезли все, но не на все хосты, а один-два человека ходили везде. Вот такого я сделать не могу, не получается. <br>Выкладываю часть конфига:<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname ccme<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 51200 warnings<br>enable password x xxxxxxxxxxxxxxxx<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>clock timezone GMT 3<br>clock summer-time GMT recurring<br>!<br>!<br>ip cef<br>!<br>!<br>ip domain name yourdomain.com<br>ip name-server x.x.x.x<br>ip name-server x.x.x.x<br>!<br>!<br>voice-card 0<br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#18 Tue, 24 Feb 2009 18:51:31 GMT при составлении ацл исходить надо из 2 вариантов.<br>1)разрешить все что не запрещено<br>2)запретить все что не разрешено<br><br>мешать правила не стоит помоуму, каша получаться будет. если очень надо, то как грится дебаж в волю sh ip access-list ACL<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#17 Tue, 24 Feb 2009 18:41:02 GMT <br>&gt;<br>&gt;ошибку в маске сделал. 0.0.0.0 надо <br><br>или проще просто host написать<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/18258.html#16 Tue, 24 Feb 2009 18:20:36 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв <br>&gt;<br>&gt;deny tcp any any <br>&gt; <br>&gt; <br>&gt; // остальным нет <br>&gt;<br>&gt;вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние <br>&gt;адреса не обозначеные пермит будут на входе в циску отброшены. <br><br>ошибку в маске сделал. 0.0.0.0 надо<br>