Помогите пожалуйста, не знаю как сделать=)
Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать через стандартный аксес-лист, а как это сделать через расширенный, ведь 2 листа на 1 интерфейс не повесишь.Как это сделать?
Заранее спасибо!
>Помогите пожалуйста, не знаю как сделать=)
>Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ
>определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать
>через стандартный аксес-лист, а как это сделать через расширенный, ведь 2
>листа на 1 интерфейс не повесишь.Как это сделать?
>Заранее спасибо!Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny.
Акцесслист по порядку проверяет до первого совпадения.
>Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny.
>
>Акцесслист по порядку проверяет до первого совпадения.Можно подробнее, если не трудно
>Помогите пожалуйста, не знаю как сделать=)
>Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ
>определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать
>через стандартный аксес-лист, а как это сделать через расширенный, ведь 2
>листа на 1 интерфейс не повесишь.Как это сделать?
>Заранее спасибо!Почему это не повесишь 2 на интерфейс??? Если бы было нельзя-это был бы ахтунг ))
Пример1: в этом случае в инет ходят только 192.168.x.1 и 192.168.x.2, всем остальным доступ в инет запрещен
Switch(config)# access-list 102 permit ip 192.168.x.1 any
Switch(config)# access-list 102 permit ip 192.168.x.2 any
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 102 outПример2: Если допустим нужно запретить доступ к определенным сайтам всем (при этом на все другие сайты в сети они ходить будут), а некоторым разрешить все.
Switch(config)# access-list 102 permit ip 192.168.x.1 any
Switch(config)# access-list 102 permit ip 192.168.x.2 any
Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74
Switch(config)# access-list 102 permit ip any any
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 102 out
т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены.
>[оверквотинг удален]
>этом на все другие сайты в сети они ходить будут), а
>некоторым разрешить все.
>Switch(config)# access-list 102 permit ip 192.168.x.1 any
>Switch(config)# access-list 102 permit ip 192.168.x.2 any
>Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74
>Switch(config)# access-list 102 permit ip any any
>Switch(config)# interface gigabitethernet1/0/1
>Switch(config-if)# ip access-group 102 out
>т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не
>имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены.К сожалению не получается так сделать, все ip заходят по данному хосту (пример 2)
что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как вам уже сказали - и будет счастье. Если не получается, скиньте то, что нарисовали.
>что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как
>вам уже сказали - и будет счастье. Если не получается, скиньте
>то, что нарисовали.access-list 102 permit ip host 192.168.123.9 any
access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250
access-list 102 permit ip any any
interface FastEthernet0/0
ip access-group 102 out
192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге по этому хосту ходят все! В чем ошибка?
>access-list 102 permit ip host 192.168.123.9 any
>access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250
>access-list 102 permit ip any any
>interface FastEthernet0/0
>ip access-group 102 out
>
>
>192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге
>по этому хосту ходят все! В чем ошибка?а ты уверен, что именно на этот ip все могут зайти. Попробуй с клиентской машины набрать в браузере этот адрес.
И вообще, скинь весь конфиг
access-list 102 permit ip any any - уберите.interface FastEthernet0/0
ip access-group 102 out - почему аут? имхо, должно быть ин.
>access-list 102 permit ip any any - уберите.а ты забыл что по умолчанию в acl дописывается deny ip any any ???
если не написать permit ip any any то ходить в инет в нашем примере сможет только 192.168.123.9
>access-list 102 permit ip any any - уберите.
>
>interface FastEthernet0/0
>ip access-group 102 out - почему аут? имхо, должно быть ин.FastEthernet0/0 это внешний или внутренний интерфейс? Если внутренний то ACL должен стоять in, если внешний, то out.
ммм... да. не права, permit ip any any не должен мешать. (все-таки лучше писать ACL, разрешая что-то конкретное и запрещая все остальное. как-то это разумнее ))
>
>Ты херишь свой deny строкой permit ip any any.)))))))
Напиши свой вариант
)) не надо стеба, вечер слишком томен для ясности мысли.я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с натом.
>)) не надо стеба, вечер слишком томен для ясности мысли.
>
>я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с
>натом.дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл
ip access-list extended ACL
permit tcp 192.168.х.х 255.255.255.255 any eq www // разрешить первому ввв
permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв
deny tcp any any
>)) не надо стеба, вечер слишком томен для ясности мысли.
>
>я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с
>натом.дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл
ip access-list extended ACL
permit tcp 192.168.х.х 255.255.255.255 any eq www // разрешить первому ввв
permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв
deny tcp any any // остальным нетвешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние адреса не обозначеные пермит будут на входе в циску отброшены.
>[оверквотинг удален]
>
>permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв
>
>deny tcp any any
>
>
> // остальным нет
>
>вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние
>адреса не обозначеные пермит будут на входе в циску отброшены.ошибку в маске сделал. 0.0.0.0 надо
>
>ошибку в маске сделал. 0.0.0.0 надоили проще просто host написать
при составлении ацл исходить надо из 2 вариантов.
1)разрешить все что не запрещено
2)запретить все что не разрешеномешать правила не стоит помоуму, каша получаться будет. если очень надо, то как грится дебаж в волю sh ip access-list ACL
>[оверквотинг удален]
>
>permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв
>
>deny tcp any any
>
>
> // остальным нет
>
>вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние
>адреса не обозначеные пермит будут на входе в циску отброшены.При таком раскладе в инет залезают, те кто в пермите, а мне нужно чтобы лезли все, но не на все хосты, а один-два человека ходили везде. Вот такого я сделать не могу, не получается.
Выкладываю часть конфига:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ccme
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password x xxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
clock timezone GMT 3
clock summer-time GMT recurring
!
!
ip cef
!
!
ip domain name yourdomain.com
ip name-server x.x.x.x
ip name-server x.x.x.x
!
!
voice-card 0
no dspfarm
!!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.x.x 255.255.255.0
ip access-group 110 in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
ip nat inside
duplex auto
speed auto
!interface Vlan1
no ip address
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface FastEthernet0/0 overload
!access-list 100 permit ip any any
access-list 110 deny ip host 195.82.146.114 any
access-list 110 deny ip 93.186.227.120 0.0.0.7 any
access-list 110 deny ip 212.119.216.0 0.0.0.7 any
access-list 110 deny ip 93.186.224.232 0.0.0.7 any
access-list 110 deny ip 93.186.226.4 0.0.0.3 any
access-list 110 deny ip 194.186.55.168 0.0.0.3 any
access-list 110 deny ip 93.186.226.128 0.0.0.3 any
access-list 110 deny ip host 93.186.225.6 any
access-list 110 deny ip 93.186.225.208 0.0.0.7 any
access-list 110 deny ip host 94.100.179.250 any
access-list 110 permit ip any any
access-list 199 permit ip 192.168.123.0 0.0.0.255 any
!
!
tftp-server flash:P00307020200.bin
tftp-server flash:P00307020200.loads
tftp-server flash:P00307020200.sbn
tftp-server flash:P00307020200.sb2
!
control-plane
!line con 0
login local
line aux 0
line vty 0 4
privilege level 15
password x xxxxxxxxxxxxxxxx
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server x.x.x.x
!
end
Сотри все и сделай так:access-list 110 permit ip 192.168.123.0 0.0.0.255 any
access-list 110 deny ip host 195.82.146.114 any
access-list 110 deny ip 93.186.227.120 0.0.0.7 any
access-list 110 deny ip 212.119.216.0 0.0.0.7 any
access-list 110 deny ip 93.186.224.232 0.0.0.7 any
access-list 110 deny ip 93.186.226.4 0.0.0.3 any
access-list 110 deny ip 194.186.55.168 0.0.0.3 any
access-list 110 deny ip 93.186.226.128 0.0.0.3 any
access-list 110 deny ip host 93.186.225.6 any
access-list 110 deny ip 93.186.225.208 0.0.0.7 any
access-list 110 deny ip host 94.100.179.250 any
access-list 110 permit ip any any
и вообще , что это ты за внешние сетки и хосты режешь на внутреннем интерфейсе?
если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно пишешь.Пример: запретить доступ на хост 195.82.146.114 :
access-list 110 deny ip any host 195.82.146.114
после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)
>[оверквотинг удален]
>на внутреннем интерфейсе?
>если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно
>пишешь.
>
>Пример: запретить доступ на хост 195.82.146.114 :
>
>access-list 110 deny ip any host 195.82.146.114
>
>
>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)Сделал так:
создал еще один лист
Extended IP access list 102
10 permit ip host 192.168.123.9 any
20 deny ip any host 195.82.146.114
30 permit ip any any (7376 matches)
и повесил его на fe0/0 как in, 110 лист убрал.
в итоге host 195.82.146.114 пингуют все, а так не должно быть.
>[оверквотинг удален]
>>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)
>
>Сделал так:
>создал еще один лист
>Extended IP access list 102
> 10 permit ip host 192.168.123.9 any
> 20 deny ip any host 195.82.146.114
> 30 permit ip any any (7376 matches)
>и повесил его на fe0/0 как in, 110 лист убрал.
>в итоге host 195.82.146.114 пингуют все, а так не должно быть.не сработало правило deny ip any host 195.82.146.114 ни разу. может в адресах ошибся?
видно, что всегда срабатывает 30 permit ip any any . целых 7376 matches.
Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку:ip nat inside source list 100 interface FastEthernet0/0 overload
Указать тот лист в котором прописаны запреты и разрешения.
>Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку:
>
>
>ip nat inside source list 100 interface FastEthernet0/0 overload
>
>Указать тот лист в котором прописаны запреты и разрешения.вообще то тут нужно указывать лист внутренних адресов, т.е. пул адресов юзеров.
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255