URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2311
[ Назад ]
Исходное сообщение
"Доступ во внутреннюю сеть с определенных адресов"
Отправлено motok , 14-Июн-18 17:28 
Добрый день.
cisco 881 pci k9
В маршрутизаторе настроен правила проброса портов во внутреннюю сеть типа:
ip nat inside source static tcp 192.168.3.2 3389 interface FastEthernet4 9965
И т.д. Как можно сделать доступ к пробросу только с определенных адресов?

Пробовал сделать так:
ip nat inside source static tcp 192.168.3.2 3389 interface 84.47.*.* 9965

Далее:
ip access-list extended dostup-rdp
permit tcp host 67.343.53.8 host 84.47.*.* eq 3154
deny   ip any any

Не срабатывает. Доступ остается у всех.

Содержание
Сообщения в этом обсуждении
"Доступ во внутреннюю сеть с определенных адресов"
Отправлено ВОЛКА , 14-Июн-18 19:56 
> ip nat inside source static tcp 192.168.3.2 3389 interface FastEthernet4 9965

если это работает, то

то на FastEthernet4 на "in" вешаем

ip access-list extended dostup-rdp
  permit tcp host 67.343.53.8 host $ip_address_from_FastEthernet4 eq 3154
  deny tcp any host $ip_address_from_FastEthernet4 eq 3154
  permit ip any any

"Доступ во внутреннюю сеть с определенных адресов"
Отправлено motok , 14-Июн-18 20:36 
Заработало. Спасибо.

А не подскажете еще... Если у пользователя внешний динамический ip, то как его всю подсеть добавить в ip access-list extended dostup-rdp? Если к примеру у него подсеть 98.152.56.0/24.

"Доступ во внутреннюю сеть с определенных адресов"
Отправлено Pofigist , 15-Июн-18 10:00 
> Заработало. Спасибо.
> А не подскажете еще... Если у пользователя внешний динамический ip, то как
> его всю подсеть добавить в ip access-list extended dostup-rdp? Если к
> примеру у него подсеть 98.152.56.0/24.

http://xgu.ru/wiki/Cisco_ACL