господа, помогите!как мне правильно написать access-list для таких условий.
есть хост с адресом 192.168.0.10 есть поганый сайт Дамочка.ру с ип 81.176.79.141 как должен должен выглядить расширенный акссесс чтобы
юзер не мог попасть именно на этой сайт а на другие мог.
создаем ACL:
access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
access-list 101 permit ip any anyи вешаем его на выход интерфейса циски:
interface fastethernet x/x
ip access-group 101 out
> создаем ACL:
>access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
>access-list 101 permit ip any any
>
> и вешаем его на выход интерфейса циски:
>interface fastethernet x/x
> ip access-group 101 outЛучше этот лист повеисть на том интерфейсе, через который подключен 192.168.0.10 для входящих пакетов.
Если трафик маленький разницы нет. Но при большом трафике то что нужно резать, лучше резать как можно раньше, чтоб не тратить ресурсы на маршрутизацию пакетов, которые все равно на выходе будут дропнуты.
Или если объемы трафика через разные интерфейсы сильно отличаются лучше вешать на тот, где трафик меньше.
Благодарствую, тему просек.Еще чисто ламерский вопрос, можно ли на один интрефейс например seria0 повесить расширенный и нерасширейнный аксесс, они будут конфликтовать друг с другом, напимер
int seria0
access-group 101 out
access-list 1 deny 192.168.0.3
access-list 1 permit 192.168.0.0 0.0.0.255access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
access-list 101 permit ip any anyВопрос надоли убирать аксесс-лист1 или будут и так работать?
>int seria0
>access-group 101 out
>
>
>access-list 1 deny 192.168.0.3
>access-list 1 permit 192.168.0.0 0.0.0.255
>
>access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
>access-list 101 permit ip any anyна один интерфейс можно повесить только два акцесс листа - один для исходящего, другой для входящего трафик.
При таком конфиге будет использоваться только 101. А есть ли в конфиге 1-й ни на что не влияет. Можно удалить, а можно оставить.