https://www.opennet.ru/openforum/vsluhforumID6/17684.html Ситуация следующая, использую Extended ACl для блокировки исходящего трафика.<br><br>как можно запретить доступ к сайтам с подсети, за исключением прокси-сервера, т.е. если трафик на 80,443 порты, то пропускаем только ИП прокси-сервера, если другие Ип из подсети, доступ блокирум.<br><br>192.168.0.1 - прокси<br>192.168.0.0/24 - подсеть<br>83.83.83.83 - внешний ИП<br><br>пробовал следующим образом: <br>ip access-list extended acl_out<br> deny ip any 192.168.0.0 0.0.255.255<br> permit tcp host 192.168.0.1 any eq www<br> deny tcp 192.168.0.0 0.0.0.255 any eq www<br> permit ip host 83.83.83.83 any<br> deny ip any any log<br><br>Подскажите где не прав....<br> https://www.opennet.ru/openforum/vsluhforumID6/17684.html#4 Thu, 27 Nov 2008 09:28:29 GMT Разобрался, еслу кому пригодится вот что получилось:<br>вешаем АЦл на внутренний интерфейс на входящий трафик, вместо внешнего интерфейся на исходящий.<br><br>interface Vlan1<br>ip address 192.168.0.200 xx.xx.xx.xx<br>ip access-group acl_Local_out in<br><br><br>ip access-list extended acl_Local_out<br> permit ip any 192.168.0.0 0.0.255.255<br> permit tcp host 192.168.0.1 any eq www <br> deny tcp 192.168.0.0 0.0.0.255 any eq www log<br> permit ip any any<br><br><br>Вроде работает :-)<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/17684.html#3 Thu, 27 Nov 2008 09:27:35 GMT &gt;[оверквотинг удален]<br>&gt;permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде <br>&gt;<br>&gt;deny ip any any log <br>&gt;<br>&gt;Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки) <br>&gt;interface Vlan1 <br>&gt;ip address 192.168.0.200 xx.xx.xx.xx <br>&gt;<br>&gt;пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, <br>&gt;с сети нет..... <br><br>это полный конфиг? там никакого ната нет, а то нат отрабатывается первым до акцесса и соответственно адреса уже другие.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/17684.html#2 Thu, 27 Nov 2008 08:54:41 GMT &gt;смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете. <br>&gt;<br>&gt;если я правильно понял вашу структуру то должно быть как-то так <br>&gt;<br>&gt;ip access-list extended acl_out <br>&gt;permit tcp host 192.168.0.1 any eq www <br>&gt;deny ip any any log <br><br>АЦЛ вешается на внешний интерфейс:<br>interface fastEthernet0/0<br> ip address 83.83.83.83 xxx.xxx.xxx.xxx<br> ip access-group acl_out out<br><br>Соответственно поэтому делаю так, кжется верным, но неработает<br>ip access-list extended acl_out <br>permit tcp host 192.168.0.1 any eq www - разрешаем только с проксюка<br>deny tcp 192.168.0.0 0.0.0.255 any eq www - запрешаем всю подсеть по 80 порту<br>permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде<br>deny ip any any log <br><br>Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)<br>interface Vlan1<br>ip address 192.168.0.200 xx.xx.xx.xx<br><br>пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, с сети нет.....<br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/17684.html#1 Thu, 27 Nov 2008 07:56:14 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;пробовал следующим образом: <br>&gt;ip access-list extended acl_out <br>&gt; deny ip any 192.168.0.0 0.0.255.255 <br>&gt; permit tcp host 192.168.0.1 any eq www <br>&gt; deny tcp 192.168.0.0 0.0.0.255 any eq www <br>&gt; permit ip host 83.83.83.83 any <br>&gt; deny ip any any log <br>&gt;<br>&gt;Подскажите где не прав.... <br><br>смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.<br>если я правильно понял вашу структуру то должно быть как-то так<br><br>ip access-list extended acl_out<br>permit tcp host 192.168.0.1 any eq www <br>deny ip any any log<br>