Привет всем!
Вопрос, может не с месту но все же:
Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1 outside.

Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru

Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru

В настройках локальной машины "Я" указывается шлюз E0
Прокси сервер Proxy.

В настройках маршрутизатора
access-list 101 permit ip host Я host Proxy
Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.

Почучается, что мне никак не ограничить интернет, что бы был доступ на только на mail.ru в существующей схеме?

• Ограничение доступа,Scrappy, 13:15 , 16-Авг-05
  • Ограничение доступа,Scrappy, 13:18 , 16-Авг-05
    • Ограничение доступа,Konst_t, 13:25 , 16-Авг-05
      • Ограничение доступа,Scrappy, 13:32 , 16-Авг-05
        • Ограничение доступа,Konst_t, 13:44 , 16-Авг-05
          • Ограничение доступа,Сайко, 14:38 , 16-Авг-05
• Ограничение доступа,Sergey, 03:16 , 24-Сен-12

>Привет всем!
>Вопрос, может не с месту но все же:
>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>outside.
>
> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>
> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>
>В настройках локальной машины "Я" указывается шлюз E0
>Прокси сервер Proxy.
>
>В настройках маршрутизатора
>access-list 101 permit ip host Я host Proxy
>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>
>
>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>только на mail.ru в существующей схеме?

Попробуй на Proxy запретить всё кроме mail.ru

>>Привет всем!
>>Вопрос, может не с месту но все же:
>>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>>outside.
>>
>> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>>
>> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>>
>>В настройках локальной машины "Я" указывается шлюз E0
>>Прокси сервер Proxy.
>>
>>В настройках маршрутизатора
>>access-list 101 permit ip host Я host Proxy
>>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>>
>>
>>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>>только на mail.ru в существующей схеме?
>
>Попробуй на Proxy запретить всё кроме mail.ru

В догонку, ещё как вариант можно попробывать отловить все ip адреса серверов mail.ru и разрешить в access-list и any deny.
В принципе это что с ходу в голову приходит

В чем и фишка, я могу только маршрутизатором управлять :-)
Когдя я соединяюсть с прокси он и является дверью в инет :-)

>
> В чем и фишка, я могу только маршрутизатором управлять :-)
> Когдя я соединяюсть с прокси он и является дверью в инет
>:-)

Ну тогда пробуй второй вариант
ping mail.ru много раз, а потом в access-list ;)

>Ну тогда пробуй второй вариант
>ping mail.ru много раз, а потом в access-list ;)

я могу забанить в acces-list весь интернет, но если у меня permit на Proxy, то толку никакого. В чем и вопрос, как хитро вывернуться? Либо в своей сетке ставить свой прокси дополнительно.

Ну у mail.ru всего совамовские 2 сети класса C:
inetnum:      194.67.23.0 - 194.67.23.255
netname:      MAILRU-NET
descr:        Mail.ru
descr:        Pushechnaya st., 2/6
descr:        103012, Moscow
country:      RU
tech-c:       VG659-RIPE
admin-c:      VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered

person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered
=======================================================
inetnum:      194.67.57.0 - 194.67.57.255
netname:      MAILRU-NET2
descr:        Mail.ru
descr:        Moscow, Russia
country:      RU
admin-c:      VG659-RIPE
tech-c:       VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered

person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered

Соответственно вот такой ACL на внутреннем интерфейсе E0:
access-list 100 remark allow only to mail.ru
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.23.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.57.0 0.0.0.255
access-list 100 deny   ip any any

interface E0
ip access-group 100 in

Можно и дальше извращяться - на вход внешнего интерфейса:
access-list 101 remark allow only from mail.ru
access-list 101 permit ip 194.67.23.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 194.67.57.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip any any

interface E1
ip access-group 101 in

Единственное замечание - необходимо проверить работу этого ACL вместе с NAT'ом!

Также можно пойти еще дальше - разрешать только доступ к http и.т.д.

>[оверквотинг удален]
> outside.
>  Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>  Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
> В настройках локальной машины "Я" указывается шлюз E0
> Прокси сервер Proxy.
> В настройках маршрутизатора
> access-list 101 permit ip host Я host Proxy
> Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
> Почучается, что мне никак не ограничить интернет, что бы был доступ на
> только на mail.ru в существующей схеме?

Довольно просто! HTTPS - если Вы доверяете издателю сертификата Twhafte, mail.ru (извините, но в точном имени издателя могу и ошибаться, mail.ru его напомнит по первому требованию, на весь остальной контент - ограничение доступа (не забудьте ввести контрольное слово)