https://m.opennet.dev/openforum/vsluhforumID6/22836.html коллеги,<br><br>надо закрыть доступ к отпределнным сайтам (соц сети) для опред IP в лок сети. в качестве маршрутизатора в сети выступает роутер 2801.<br><br>написал такой ACL<br><br>ip access-list extended social_net<br> deny tcp 172.16.0.0 0.0.0.127 93.186.224.0 0.0.0.255 eq www log<br> deny tcp 172.16.0.0 0.0.0.127 87.240.188.0 0.0.0.255 eq www log<br> deny tcp 172.16.0.0 0.0.0.127 217.20.145.0 0.0.0.255 eq www log<br> deny tcp 172.16.0.0 0.0.0.127 217.20.144.0 0.0.0.255 eq www log<br> deny tcp 172.16.0.0 0.0.0.127 217.20.149.0 0.0.0.255 eq www log<br> deny tcp 172.16.0.0 0.0.0.127 217.20.152.0 0.0.0.255 eq www log<br> permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www<br> permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www<br> permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www<br> permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www<br> permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www<br> permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www<br> permit ip any any<br><br><br>и https://m.opennet.dev/openforum/vsluhforumID6/22836.html#6 Thu, 07 Jul 2011 06:45:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www <br>&gt;&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www <br>&gt;&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www <br>&gt;&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www <br>&gt;&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www <br>&gt;&gt;&gt; Зачем это если дальше и так стоит permit any any?<br>&gt;&gt; опред группе дать доступ к этим IP, другим запретить. ну и в <br>&gt;&gt; остальной инет можно - така цель.<br>&gt; У Вас в конце стоит permit всем. Т.е. если какой-то трафик не <br>&gt; попадает под запрещающие правила, то он будет разрешен.<br><br>вопрос решен именно acl. насчет прокси вкурсе, но есть только 2801 и никаких пк не хочу добавлять для данной задачи. решил так:<br><br><br>выдаю всем адреса из пула DHCP:<br><br> network 172.16.0.128 255.255.255.128<br><br>им будет ограничен доступ к опред узлам в нете, другим нет )<br><br>ip access-list extended social_net<br> deny tcp 172.16.0.128 0.0.0.127 93.186.224.0 0.0.0 https://m.opennet.dev/openforum/vsluhforumID6/22836.html#5 Wed, 06 Jul 2011 02:16:54 GMT &gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www <br>&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www <br>&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www <br>&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www <br>&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www <br>&gt;&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www <br>&gt;&gt; Зачем это если дальше и так стоит permit any any?<br>&gt; опред группе дать доступ к этим IP, другим запретить. ну и в <br>&gt; остальной инет можно - така цель.<br><br>У Вас в конце стоит permit всем. Т.е. если какой-то трафик не попадает под запрещающие правила, то он будет разрешен.<br> https://m.opennet.dev/openforum/vsluhforumID6/22836.html#4 Wed, 06 Jul 2011 02:14:57 GMT &gt;&gt;&gt; определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией <br>&gt;&gt;&gt; URL <br>&gt; не подскажете по этому подробней? как ограничить? задача запретить, но не всем <br><br>Proxy<br> https://m.opennet.dev/openforum/vsluhforumID6/22836.html#3 Tue, 05 Jul 2011 17:56:01 GMT <br>&gt;&gt; определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией <br>&gt;&gt; URL <br><br>не подскажете по этому подробней? как ограничить? задача запретить, но не всем<br> https://m.opennet.dev/openforum/vsluhforumID6/22836.html#2 Tue, 05 Jul 2011 17:47:45 GMT <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www <br>&gt;&gt; permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www <br>&gt; Зачем это если дальше и так стоит permit any any?<br><br>опред группе дать доступ к этим IP, другим запретить. ну и в остальной инет можно - така цель.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; ip access-group social_net in <br>&gt;&gt; ip nat inside <br>&gt;&gt; ip virtual-reassembly <br>&gt;&gt; правильно?<br>&gt; А так все верно, но есть сомнения что решите проблему доступа к <br>&gt; определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией <br>&gt; URL <br>&gt; а ip шлюза в этом случае разве входит в эту сеть при <br>&gt; этом?<br>&gt; 172.16.0.254 и 172.16.0.0/26 в разных подсетях. Мне кажется в этом причина <br><br>не подумал, да Вы правы https://m.opennet.dev/openforum/vsluhforumID6/22836.html#1 Tue, 05 Jul 2011 17:12:05 GMT <br> <br>&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.144.0 0.0.0.255 eq www <br>&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.145.0 0.0.0.255 eq www <br>&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.149.0 0.0.0.255 eq www <br>&gt; permit tcp 172.16.0.224 0.0.0.7 217.20.152.0 0.0.0.255 eq www <br>&gt; permit tcp 172.16.0.224 0.0.0.7 87.240.188.0 0.0.0.255 eq www <br>&gt; permit tcp 172.16.0.224 0.0.0.7 93.186.224.0 0.0.0.255 eq www <br><br>Зачем это если дальше и так стоит permit any any?<br><br><br>&gt; и вешаю акцесс лист на внутренний интерфейс: <br>&gt; interface FastEthernet0/0.1 <br>&gt; encapsulation dot1Q 1 native <br>&gt; ip address 172.16.0.254 255.255.255.0 <br>&gt; ip access-group social_net in <br>&gt; ip nat inside <br>&gt; ip virtual-reassembly <br>&gt; правильно?<br><br>А так все верно, но есть сомнения что решите проблему доступа к определенным сайтам(зеркала и всякая остальная лабуда). Обычно это делается фильтрацией URL <br>&gt; 2 вопрос: <br>&gt; теперь DHCP хочу ограничить на кол-во выдаваемых IP <br>&gt; ip dhcp pool DATA <br>&gt; network 172.16.0.0 255.255.255.0 <br>&gt; default-rou