URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1283
[ Назад ]

Исходное сообщение
"Настройка acl (3560)"
Отправлено vlv , 25-Мрт-14 15:44

День добрый!
Впервые настраиваю acl,
Дано. На одном порту висит несколько ip-шников (через свитч)
Для одного из них (например 192.168.70.247) нужно ограничить все, кроме локалки и одного сайта (83.222.240.231)
Делаю так:
ip access-list extended porte_block
deny tcp host 192.168.70.247 any eq www
permit ip 192.168.70.0 0.0.0.255 any
permit tcp host 192.168.70.247 host 83.222.240.231
В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа не имеет.
Вопрос: где косяк?
Заранее благодарен.
С уважением.

Содержание

Настройка acl (3560),Merridius, 15:52 , 25-Мрт-14
- Настройка acl (3560),vlv, 16:12 , 25-Мрт-14
Настройка acl (3560),jabbson, 15:54 , 25-Мрт-14
- Настройка acl (3560),vlv, 16:18 , 25-Мрт-14
  - Настройка acl (3560),xartx2014, 02:48 , 26-Мрт-14
    - Настройка acl (3560),vlv, 10:29 , 26-Мрт-14
      - Настройка acl (3560),jabbson, 10:35 , 26-Мрт-14
Настройка acl (3560),gfh, 08:33 , 26-Мрт-14
- Настройка acl (3560),vlv, 10:42 , 26-Мрт-14
  - Настройка acl (3560),gfh, 16:00 , 26-Мрт-14
    - Настройка acl (3560),vlv, 17:13 , 27-Мрт-14
      - Настройка acl (3560),gfh, 17:42 , 27-Мрт-14
    - Настройка acl (3560),vlv, 16:24 , 28-Мрт-14
- Настройка acl (3560),jabbson, 12:13 , 26-Мрт-14
Настройка acl (3560),kot095, 15:31 , 27-Мрт-14

Сообщения в этом обсуждении

"Настройка acl (3560)"
Отправлено Merridius , 25-Мрт-14 15:52

> permit ip 192.168.70.0 0.0.0.255 any
> permit tcp host 192.168.70.247 host 83.222.240.231
У вас вторая строка перекрывает третью.
Вешаете АКЛ куда и в какую сторону?

"Настройка acl (3560)"
Отправлено vlv , 25-Мрт-14 16:12

>> permit ip 192.168.70.0 0.0.0.255 any
>> permit tcp host 192.168.70.247 host 83.222.240.231
> У вас вторая строка перекрывает третью.
> Вешаете АКЛ куда и в какую сторону?
interface GigabitEthernet0/7
description Switch16 v servernoi
switchport access vlan 70
switchport mode access
ip access-group porte_block in
Вы про это?
С уважением

"Настройка acl (3560)"
Отправлено jabbson , 25-Мрт-14 15:54

>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
>  deny   tcp host 192.168.70.247 any eq www
>  permit ip 192.168.70.0 0.0.0.255 any
>  permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.
ip access-list extended porte_block
permit ip host 192.168.70.247 <localnet invertmask>
permit tcp host 192.168.70.247 host 83.222.240.231
deny ip host 192.168.70.247 any
permit ip any any
+ dns не забыть, если по имени к сайту обращаетесь и за ним нужно сходить на DNS сервер.
и на in на интерфейс

"Настройка acl (3560)"
Отправлено vlv , 25-Мрт-14 16:18

> ip access-list extended porte_block
>  permit ip host 192.168.70.247 <localnet invertmask>
>  permit tcp host 192.168.70.247 host 83.222.240.231
>  deny ip host 192.168.70.247 any
>  permit ip any any
> + dns не забыть, если по имени к сайту обращаетесь и за
> ним нужно сходить на DNS сервер.
> и на in на интерфейс
Дико извиняюсь, <localnet invertmask> - это о чем?
С уважением

"Настройка acl (3560)"
Отправлено xartx2014 , 26-Мрт-14 02:48

>> ip access-list extended porte_block
>>  permit ip host 192.168.70.247 <localnet invertmask>
>>  permit tcp host 192.168.70.247 host 83.222.240.231
>>  deny ip host 192.168.70.247 any
>>  permit ip any any
>> + dns не забыть, если по имени к сайту обращаетесь и за
>> ним нужно сходить на DNS сервер.
>> и на in на интерфейс
> Дико извиняюсь, <localnet invertmask> - это о чем?
> С уважением
<localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0

"Настройка acl (3560)"
Отправлено vlv , 26-Мрт-14 10:29

> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0
Хм. Он в данном случае маску не предлагает прописать
3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?
  A.B.C.D  Destination address
  any      Any destination host
  host     A single destination host
Только эти варианты.
С уважением.

"Настройка acl (3560)"
Отправлено jabbson , 26-Мрт-14 10:35

>> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0
> Хм. Он в данном случае маску не предлагает прописать
> 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?
>   A.B.C.D  Destination address
>   any      Any destination host
>   host     A single destination host
> Только эти варианты.
> С уважением.
Потому что Вам расшифровали так мое сообщение. Localnet - адрес локальной сети, invertmask - обратная маска.

"Настройка acl (3560)"
Отправлено gfh , 26-Мрт-14 08:33

>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
>  deny   tcp host 192.168.70.247 any eq www
>  permit ip 192.168.70.0 0.0.0.255 any
>  permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.
В acl работает правило первого вхождения, надо просто поменять местами правила:
ip access-list extended porte_block
  permit tcp host 192.168.70.247 host 83.222.240.231
  deny   tcp host 192.168.70.247 any eq www
  permit ip 192.168.70.0 0.0.0.255 any

"Настройка acl (3560)"
Отправлено vlv , 26-Мрт-14 10:42

> В acl работает правило первого вхождения, надо просто поменять местами правила:
> ip access-list extended porte_block
>   permit tcp host 192.168.70.247 host 83.222.240.231
>   deny   tcp host 192.168.70.247 any eq www
>   permit ip 192.168.70.0 0.0.0.255 any
!!!!! Благодарствую!!!! Спасибо огромное!
Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта?
Заранее спасибо.
С уважением.

"Настройка acl (3560)"
Отправлено gfh , 26-Мрт-14 16:00

> !!!!! Благодарствую!!!! Спасибо огромное!
> Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта?
> Заранее спасибо.
> С уважением.
Ну я вашей ситуации не знаю, так что причин может быть миллион. Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки на сторонние ресурсы с другим ip и браузер просто ждет их загрузки с определенным таймаутом.

"Настройка acl (3560)"
Отправлено vlv , 27-Мрт-14 17:13

> Ну я вашей ситуации не знаю, так что причин может быть миллион.
> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
> на сторонние ресурсы с другим ip и браузер просто ждет их
> загрузки с определенным таймаутом.
Еще раз огромная благодарность за помощь.
А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?
Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и разрешение на все остальные ip-шники.
Заранее спасибо.
С уважением.

"Настройка acl (3560)"
Отправлено gfh , 27-Мрт-14 17:42

>> Ну я вашей ситуации не знаю, так что причин может быть миллион.
>> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
>> на сторонние ресурсы с другим ip и браузер просто ждет их
>> загрузки с определенным таймаутом.
> Еще раз огромная благодарность за помощь.
> А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?
> Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и
> разрешение на все остальные ip-шники.
> Заранее спасибо.
> С уважением.
Делать можно что угодно, просто соблюдайте правила построения acl
Почитайте например http://habrahabr.ru/post/121806/ или http://www.cisco.com/cisco/web/support/RU/9/92/92035_confacc...

"Настройка acl (3560)"
Отправлено vlv , 28-Мрт-14 16:24

> Ну я вашей ситуации не знаю, так что причин может быть миллион.
> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
> на сторонние ресурсы с другим ip и браузер просто ждет их
> загрузки с определенным таймаутом.
Рано я радовался. При попытке прописать более одного ip-шника, перестает открывать нужные сайты.
Делал, как Вы сказали
Extended IP access list porte_block_test
    10 permit tcp host 192.168.70.154 host 94.100.180.70
    20 permit tcp host 192.168.70.114 host 94.100.180.70
    30 permit tcp host 192.168.70.154 host 82.222.240.231
    40 permit tcp host 192.168.70.114 host 82.222.240.231
    50 deny tcp host 192.168.70.154 any eq www
    50 deny tcp host 192.168.70.114 any eq www
    50 permit ip 192.168.70.0 0.0.0.255 any (26 matches)
При такой схеме сайт по второму адресу не открывается, почему-то.
С уважением.

"Настройка acl (3560)"
Отправлено jabbson , 26-Мрт-14 12:13

> В acl работает правило первого вхождения, надо просто поменять местами правила:
> ip access-list extended porte_block
>   permit tcp host 192.168.70.247 host 83.222.240.231
>   deny   tcp host 192.168.70.247 any eq www
>   permit ip 192.168.70.0 0.0.0.255 any
по условию было нужно "ограничить все, кроме локалки и одного сайта" (разрешить только локалку и один сайт). У Вас "ограничить все www, кроме одного сайта".

"Настройка acl (3560)"
Отправлено kot095 , 27-Мрт-14 15:31

>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
>  deny   tcp host 192.168.70.247 any eq www
>  permit ip 192.168.70.0 0.0.0.255 any
>  permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.
в вашем случае надо сначала нпаписать строчки разрешающие что вам нужно а после них просто запретить все (по умолчанию посл строка запрещает все, писать ее надо только для того чтобы не забыть об этом потом когда будуте лазить что то менять)