- Акцесс листом закрыть доступ к опред IP, Aleks305, 21:12 , 05-Июл-11 (1)
- Акцесс листом закрыть доступ к опред IP, Vladsky, 21:47 , 05-Июл-11 (2)
>> permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www >> permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >> permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >> permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >> permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >> permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www > Зачем это если дальше и так стоит permit any any?опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель. >[оверквотинг удален] >> ip access-group social_net in >> ip nat inside >> ip virtual-reassembly >> правильно? > А так все верно, но есть сомнения что решите проблему доступа к > определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией > URL > а ip шлюза в этом случае разве входит в эту сеть при > этом? > 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина не подумал, да Вы правы, спасибо!
- Акцесс листом закрыть доступ к опред IP, Vladsky, 21:56 , 05-Июл-11 (3)
>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией >> URL не подскажете по этому подробней? как ограничить? задача запретить, но не всем
- Акцесс листом закрыть доступ к опред IP, VolanD, 06:16 , 06-Июл-11 (5)
- Акцесс листом закрыть доступ к опред IP, Vladsky, 10:45 , 07-Июл-11 (6)
>[оверквотинг удален] >>>> permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www >>>> permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www >>>> permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www >>>> permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www >>>> permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www >>> Зачем это если дальше и так стоит permit any any? >> опред группе дать доступ к этим IP, другим запретить. ну и в >> остальной инет можно - така цель. > У Вас в конце стоит permit всем. Т.е. если какой-то трафик не > попадает под запрещающие правила, то он будет разрешен.вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так: выдаю всем адреса из пула DHCP:
network 172.16.0.128 255.255.255.128 им будет ограничен доступ к опред узлам в нете, другим нет ) ip access-list extended social_net deny tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0.255 eq www log deny tcp 172.16.0.128 0.0.0.127 87.240.188.0 0.0.0.255 eq www log deny tcp 172.16.0.128 0.0.0.127 217.20.145.0 0.0.0.255 eq www log deny tcp 172.16.0.128 0.0.0.127 217.20.144.0 0.0.0.255 eq www log deny tcp 172.16.0.128 0.0.0.127 217.20.149.0 0.0.0.255 eq www log deny tcp 172.16.0.128 0.0.0.127 217.20.152.0 0.0.0.255 eq www log permit ip any any interface fa 0/0.1 ip access-group social_net in данный акцесс лист вешаю на внутренний интерфейс на вход.
|