URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19090
[ Назад ]

Исходное сообщение
"Помогите с простой задачкой"
Отправлено Saneman , 18-Июн-09 15:29

Доброго времени суток!
Помогите разобраться с тивиальной задачкой..
Есть две сети 192.168.1.0/24 и 192.168.2.0/24.
Нужно заблокировать доступ к одной машине (к примеру 192.168.1.200) в сети 192.168.1.0/24 с маршрутизатора (cisco 1840).
Вроде все просто при использовании "стандартного списка доступа":
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 2 in
.
.
access-list 2 deny host 192.168.1.200
access-list 2 permit any
ping c маршрутизатора на 192.168.1.200 не идет (что мне и нужно), зато вся сеть (192.168.1.0/24) видна. Хост 192.168.1.200 из сети (192.168.2.0/24) не виден.
Т.е все работает!
Но проблема в том, что мне крайне нужно использовать "расширенный список доступа":
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
.
.
access-list 102 deny ip any host 192.168.1.200
access-list 102 permit ip any any
Запускаю ping с маршрутизатора на 192.168.1.200 и он отчего-то проходит, и вся сеть (192.168.1.0/24) видна.
Причем 192.168.1.200 виден и с сети (192.168.2.0/24).
Вместо
access-list 2 permit ip any any
пробовал
access-list 2 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
ничего не помогло. :(
Как бы решить задачку блокировки машины с маршрутизатора с использованием
"расширенным списком доступа"?

На всякий случай выкладываю config.
Говорю сразу, что маршрутизатор соединяет две внутренние сети
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname office
!
boot-start-marker
boot-end-marker
!
no logging console
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
!
no ftp-server write-enable
!
interface FastEthernet0/0
description OFFICE LAN
ip address 192.168.1.1 255.255.255.0
ip access-group 102 in
ip accounting output-packets
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description LAN_2 2.0
ip address 192.168.2.1
no ip address
duplex auto
speed auto
no cdp enable
!
interface Serial0/0/0
no ip address
encapsulation frame-relay IETF
no ip mroute-cache
no fair-queue
clockrate 2000000
frame-relay traffic-shaping
frame-relay lmi-type ansi
!
interface Serial0/0/0.16 point-to-point
ip accounting output-packets
no ip mroute-cache
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.2
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
no ip http server
!
!
!
map-class frame-relay data
frame-relay cir 512000
frame-relay bc 512000
frame-relay be 512000
!
map-class frame-relay voice
access-list 102 deny ip any host 192.168.5.205
access-list 102 permit ip any any
no cdp run
!
control-plane
!

Содержание

Помогите с простой задачкой,Myxa, 16:08 , 18-Июн-09
- Помогите с простой задачкой,sh_, 16:22 , 18-Июн-09
  - Помогите с простой задачкой,Saneman, 16:48 , 18-Июн-09
    - Помогите с простой задачкой,sh_, 17:28 , 18-Июн-09
      - Помогите с простой задачкой,Saneman, 09:34 , 19-Июн-09

Сообщения в этом обсуждении

"Помогите с простой задачкой"
Отправлено Myxa , 18-Июн-09 16:08

>Запускаю ping с маршрутизатора на 192.168.1.200 и он отчего-то проходит, и вся
>сеть (192.168.1.0/24) видна.
Логично, что б закрыть именно пинг, фильтруйте icmp, а не ip

"Помогите с простой задачкой"
Отправлено sh_ , 18-Июн-09 16:22

2Муха
Нет.
no access-list 102
access-list 102 deny ip host 192.168.1.200 any
access-list 102 permit ip any any

"Помогите с простой задачкой"
Отправлено Saneman , 18-Июн-09 16:48

>Нет.
>
>no access-list 102
>access-list 102 deny ip host 192.168.1.200 any
>access-list 102 permit ip any any
Вариант (Муха):
access-list 102 deny icmp any host 192.168.1.200
access-list 102 permit ip any any
Картину не изменил, а ваш:
access-list 102 deny ip host 192.168.1.200 any
access-list 102 permit ip any any
работает.
Вопрос:
на ваш взгляд я могу добавить вот так, чтоб работало:
access-list 102 permit tcp host 192.168.2.5 host 192.168.1.200 eq telnet
access-list 102 deny ip host 192.168.1.200 any
access-list 102 permit ip any any
нужен доступ к 192.168.1.200 только с одной машины (192.168.2.5),
а тестовый полигон собирать накладно для проверки..

"Помогите с простой задачкой"
Отправлено sh_ , 18-Июн-09 17:28

>access-list 102 permit tcp host 192.168.2.5 host 192.168.1.200 eq telnet
>access-list 102 deny ip host 192.168.1.200 any
>access-list 102 permit ip any any
>
>нужен доступ к 192.168.1.200 только с одной машины (192.168.2.5),
Вы опять перепутали src и dst. У вас acl применен в направлении in на интерфейсе 192.168.1/24
access-list 102 permit tcp host 192.168.1.200 eq telnet host 192.168.2.5
access-list 102 deny ip host 192.168.1.200 any
access-list 102 permit ip any any
И уберите
ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
оно не нужно...

"Помогите с простой задачкой"
Отправлено Saneman , 19-Июн-09 09:34

>[оверквотинг удален]
>in на интерфейсе 192.168.1/24
>
>access-list 102 permit tcp host 192.168.1.200 eq telnet host 192.168.2.5
>access-list 102 deny ip host 192.168.1.200 any
>access-list 102 permit ip any any
>
>И уберите
>ip route 192.168.1.0 255.255.255.0 FastEthernet0/0
>ip route 192.168.2.0 255.255.255.0 FastEthernet0/1
>оно не нужно...
Огромное спасибо за помощь!