The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Акцесс листом закрыть доступ к опред IP, !*! Vladsky, 05-Июл-11, 15:52  [смотреть все]
коллеги,

надо закрыть доступ к отпределнным сайтам (соц сети) для опред IP в лок сети. в качестве маршрутизатора в сети выступает роутер 2801.

написал такой ACL

ip access-list extended social_net
deny   tcp 172.16.0.0 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
permit ip any any


и вешаю акцесс лист на внутренний интерфейс:

interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.16.0.254 255.255.255.0
ip access-group social_net in
ip nat inside
ip virtual-reassembly


правильно?

2 вопрос:

теперь DHCP хочу ограничить на кол-во выдаваемых IP

ip dhcp pool DATA
   network 172.16.0.0 255.255.255.0
   default-router 172.16.0.254
   dns-server 81.22.192.19 81.22.204.35


если пишу так
  network 172.16.0.0 255.255.255.192

не выдает адреса ( в чем трабл?


Ответить | Сообщить модератору
  • Акцесс листом закрыть доступ к опред IP, !*! Aleks305, 21:12 , 05-Июл-11 (1)
    • Акцесс листом закрыть доступ к опред IP, !*! Vladsky, 21:47 , 05-Июл-11 (2)

      >>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
      >>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
      >>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
      >>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
      >>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
      >>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
      > Зачем это если дальше и так стоит permit any any?

      опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель.

      >[оверквотинг удален]
      >>  ip access-group social_net in
      >>  ip nat inside
      >>  ip virtual-reassembly
      >>  правильно?
      > А так все верно, но есть сомнения что решите проблему доступа к
      > определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
      > URL
      > а ip шлюза в этом случае разве входит в эту сеть при
      > этом?
      > 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина

      не подумал, да Вы правы, спасибо!

      Ответить | Сообщить модератору
      • Акцесс листом закрыть доступ к опред IP, !*! Vladsky, 21:56 , 05-Июл-11 (3)

        >> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
        >> URL

        не подскажете по этому подробней? как ограничить? задача запретить, но не всем

        Ответить | Сообщить модератору
      • Акцесс листом закрыть доступ к опред IP, !*! VolanD, 06:16 , 06-Июл-11 (5)
        • Акцесс листом закрыть доступ к опред IP, !*! Vladsky, 10:45 , 07-Июл-11 (6)
          >[оверквотинг удален]
          >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
          >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
          >>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
          >>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
          >>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
          >>> Зачем это если дальше и так стоит permit any any?
          >> опред группе дать доступ к этим IP, другим запретить. ну и в
          >> остальной инет можно - така цель.
          > У Вас в конце стоит permit всем. Т.е. если какой-то трафик не
          > попадает под запрещающие правила, то он будет разрешен.

          вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так:


          выдаю всем адреса из пула DHCP:

             network 172.16.0.128 255.255.255.128

          им будет ограничен доступ к опред узлам в нете, другим нет )

          ip access-list extended social_net
          deny   tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
          deny   tcp 172.16.0.128 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
          deny   tcp 172.16.0.128 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
          deny   tcp 172.16.0.128 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
          deny   tcp 172.16.0.128 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
          deny   tcp 172.16.0.128 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
          permit ip any any

          interface fa 0/0.1
          ip access-group social_net in

          данный акцесс лист вешаю на внутренний интерфейс на вход.


          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру