URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22836
[ Назад ]

Исходное сообщение
"Акцесс листом закрыть доступ к опред IP"
Отправлено Vladsky , 05-Июл-11 15:52

коллеги,
надо закрыть доступ к отпределнным сайтам (соц сети) для опред IP в лок сети. в качестве маршрутизатора в сети выступает роутер 2801.
написал такой ACL
ip access-list extended social_net
deny   tcp 172.16.0.0 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
deny   tcp 172.16.0.0 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
permit ip any any

и вешаю акцесс лист на внутренний интерфейс:
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.16.0.254 255.255.255.0
ip access-group social_net in
ip nat inside
ip virtual-reassembly

правильно?
2 вопрос:
теперь DHCP хочу ограничить на кол-во выдаваемых IP
ip dhcp pool DATA
   network 172.16.0.0 255.255.255.0
   default-router 172.16.0.254
   dns-server 81.22.192.19 81.22.204.35

если пишу так
  network 172.16.0.0 255.255.255.192
не выдает адреса ( в чем трабл?

Содержание

Акцесс листом закрыть доступ к опред IP,Aleks305, 21:12 , 05-Июл-11
- Акцесс листом закрыть доступ к опред IP,Vladsky, 21:47 , 05-Июл-11
  - Акцесс листом закрыть доступ к опред IP,Vladsky, 21:56 , 05-Июл-11
    - Акцесс листом закрыть доступ к опред IP,VolanD, 06:14 , 06-Июл-11
  - Акцесс листом закрыть доступ к опред IP,VolanD, 06:16 , 06-Июл-11
    - Акцесс листом закрыть доступ к опред IP,Vladsky, 10:45 , 07-Июл-11

Сообщения в этом обсуждении

"Акцесс листом закрыть доступ к опред IP"
Отправлено Aleks305 , 05-Июл-11 21:12

>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
Зачем это если дальше и так стоит permit any any?

> и вешаю акцесс лист на внутренний интерфейс:
> interface FastEthernet0/0.1
>  encapsulation dot1Q 1 native
>  ip address 172.16.0.254 255.255.255.0
>  ip access-group social_net in
>  ip nat inside
>  ip virtual-reassembly
>  правильно?
А так все верно, но есть сомнения что решите проблему доступа к определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией URL
> 2 вопрос:
> теперь DHCP хочу ограничить на кол-во выдаваемых IP
> ip dhcp pool DATA
>    network 172.16.0.0 255.255.255.0
>    default-router 172.16.0.254
>    dns-server 81.22.192.19 81.22.204.35
> если пишу так
>   network 172.16.0.0 255.255.255.192
>  не выдает адреса ( в чем трабл?
а ip шлюза в этом случае разве входит в эту сеть при этом?
172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина

"Акцесс листом закрыть доступ к опред IP"
Отправлено Vladsky , 05-Июл-11 21:47

>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
> Зачем это если дальше и так стоит permit any any?
опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель.
>[оверквотинг удален]
>>  ip access-group social_net in
>>  ip nat inside
>>  ip virtual-reassembly
>>  правильно?
> А так все верно, но есть сомнения что решите проблему доступа к
> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
> URL
> а ip шлюза в этом случае разве входит в эту сеть при
> этом?
> 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина
не подумал, да Вы правы, спасибо!

"Акцесс листом закрыть доступ к опред IP"
Отправлено Vladsky , 05-Июл-11 21:56

>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
>> URL
не подскажете по этому подробней? как ограничить? задача запретить, но не всем

"Акцесс листом закрыть доступ к опред IP"
Отправлено VolanD , 06-Июл-11 06:14

>>> определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией
>>> URL
> не подскажете по этому подробней? как ограничить? задача запретить, но не всем
Proxy

"Акцесс листом закрыть доступ к опред IP"
Отправлено VolanD , 06-Июл-11 06:16

>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
>> Зачем это если дальше и так стоит permit any any?
> опред группе дать доступ к этим IP, другим запретить. ну и в
> остальной инет можно - така цель.
У Вас в конце стоит permit всем. Т.е. если какой-то трафик не попадает под запрещающие правила, то он будет разрешен.

"Акцесс листом закрыть доступ к опред IP"
Отправлено Vladsky , 07-Июл-11 10:45

>[оверквотинг удален]
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www
>>>>  permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www
>>> Зачем это если дальше и так стоит permit any any?
>> опред группе дать доступ к этим IP, другим запретить. ну и в
>> остальной инет можно - така цель.
> У Вас в конце стоит permit всем. Т.е. если какой-то трафик не
> попадает под запрещающие правила, то он будет разрешен.
вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так:

выдаю всем адреса из пула DHCP:
   network 172.16.0.128 255.255.255.128
им будет ограничен доступ к опред узлам в нете, другим нет )
ip access-list extended social_net
deny   tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 87.240.188.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.145.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.144.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.149.0 0.0.0.255 eq www log
deny   tcp 172.16.0.128 0.0.0.127 217.20.152.0 0.0.0.255 eq www log
permit ip any any
interface fa 0/0.1
ip access-group social_net in
данный акцесс лист вешаю на внутренний интерфейс на вход.