форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Настройка acl (3560)"	+/–
Сообщение от vlv (ok) on 25-Мрт-14, 15:44
День добрый! Впервые настраиваю acl, Дано. На одном порту висит несколько ip-шников (через свитч) Для одного из них (например 192.168.70.247) нужно ограничить все, кроме локалки и одного сайта (83.222.240.231) Делаю так: ip access-list extended porte_block deny   tcp host 192.168.70.247 any eq www permit ip 192.168.70.0 0.0.0.255 any permit tcp host 192.168.70.247 host 83.222.240.231 В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа не имеет. Вопрос: где косяк? Заранее благодарен. С уважением.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка acl (3560)"	+/–
Сообщение от Merridius (ok) on 25-Мрт-14, 15:52
>  permit ip 192.168.70.0 0.0.0.255 any >  permit tcp host 192.168.70.247 host 83.222.240.231 У вас вторая строка перекрывает третью. Вешаете АКЛ куда и в какую сторону?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 25-Мрт-14, 16:12
	>>  permit ip 192.168.70.0 0.0.0.255 any >>  permit tcp host 192.168.70.247 host 83.222.240.231 > У вас вторая строка перекрывает третью. > Вешаете АКЛ куда и в какую сторону? interface GigabitEthernet0/7 description Switch16 v servernoi switchport access vlan 70 switchport mode access ip access-group porte_block in Вы про это? С уважением
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Настройка acl (3560)"	+/–
Сообщение от jabbson (ok) on 25-Мрт-14, 15:54
>[оверквотинг удален] > Делаю так: > ip access-list extended porte_block >  deny   tcp host 192.168.70.247 any eq www >  permit ip 192.168.70.0 0.0.0.255 any >  permit tcp host 192.168.70.247 host 83.222.240.231 > В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа > не имеет. > Вопрос: где косяк? > Заранее благодарен. > С уважением. ip access-list extended porte_block permit ip host 192.168.70.247 <localnet invertmask> permit tcp host 192.168.70.247 host 83.222.240.231 deny ip host 192.168.70.247 any permit ip any any + dns не забыть, если по имени к сайту обращаетесь и за ним нужно сходить на DNS сервер. и на in на интерфейс
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 25-Мрт-14, 16:18
	> ip access-list extended porte_block >  permit ip host 192.168.70.247 <localnet invertmask> >  permit tcp host 192.168.70.247 host 83.222.240.231 >  deny ip host 192.168.70.247 any >  permit ip any any > + dns не забыть, если по имени к сайту обращаетесь и за > ним нужно сходить на DNS сервер. > и на in на интерфейс Дико извиняюсь, <localnet invertmask> - это о чем? С уважением
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Настройка acl (3560)"	+/–
	Сообщение от xartx2014 (ok) on 26-Мрт-14, 02:48
	>> ip access-list extended porte_block >>  permit ip host 192.168.70.247 <localnet invertmask> >>  permit tcp host 192.168.70.247 host 83.222.240.231 >>  deny ip host 192.168.70.247 any >>  permit ip any any >> + dns не забыть, если по имени к сайту обращаетесь и за >> ним нужно сходить на DNS сервер. >> и на in на интерфейс > Дико извиняюсь, <localnet invertmask> - это о чем? > С уважением <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 26-Мрт-14, 10:29
	> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0 Хм. Он в данном случае маску не предлагает прописать 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?   A.B.C.D  Destination address   any      Any destination host   host     A single destination host Только эти варианты. С уважением.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Настройка acl (3560)"	+/–
	Сообщение от jabbson (ok) on 26-Мрт-14, 10:35
	>> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0 > Хм. Он в данном случае маску не предлагает прописать > 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ? >   A.B.C.D  Destination address >   any      Any destination host >   host     A single destination host > Только эти варианты. > С уважением. Потому что Вам расшифровали так мое сообщение. Localnet - адрес локальной сети, invertmask - обратная маска.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Настройка acl (3560)"	+/–
Сообщение от gfh (??) on 26-Мрт-14, 08:33
>[оверквотинг удален] > Делаю так: > ip access-list extended porte_block >  deny   tcp host 192.168.70.247 any eq www >  permit ip 192.168.70.0 0.0.0.255 any >  permit tcp host 192.168.70.247 host 83.222.240.231 > В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа > не имеет. > Вопрос: где косяк? > Заранее благодарен. > С уважением. В acl работает правило первого вхождения, надо просто поменять местами правила: ip access-list extended porte_block   permit tcp host 192.168.70.247 host 83.222.240.231   deny   tcp host 192.168.70.247 any eq www   permit ip 192.168.70.0 0.0.0.255 any
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 26-Мрт-14, 10:42
	> В acl работает правило первого вхождения, надо просто поменять местами правила: > ip access-list extended porte_block >   permit tcp host 192.168.70.247 host 83.222.240.231 >   deny   tcp host 192.168.70.247 any eq www >   permit ip 192.168.70.0 0.0.0.255 any !!!!! Благодарствую!!!! Спасибо огромное! Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта? Заранее спасибо. С уважением.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "Настройка acl (3560)"	+/–
	Сообщение от gfh (??) on 26-Мрт-14, 16:00
	> !!!!! Благодарствую!!!! Спасибо огромное! > Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта? > Заранее спасибо. > С уважением. Ну я вашей ситуации не знаю, так что причин может быть миллион. Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки на сторонние ресурсы с другим ip и браузер просто ждет их загрузки с определенным таймаутом.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 27-Мрт-14, 17:13
	> Ну я вашей ситуации не знаю, так что причин может быть миллион. > Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки > на сторонние ресурсы с другим ip и браузер просто ждет их > загрузки с определенным таймаутом. Еще раз огромная благодарность за помощь. А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)? Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и разрешение на все остальные ip-шники. Заранее спасибо. С уважением.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Настройка acl (3560)"	+/–
	Сообщение от gfh (??) on 27-Мрт-14, 17:42
	>> Ну я вашей ситуации не знаю, так что причин может быть миллион. >> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки >> на сторонние ресурсы с другим ip и браузер просто ждет их >> загрузки с определенным таймаутом. > Еще раз огромная благодарность за помощь. > А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)? > Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и > разрешение на все остальные ip-шники. > Заранее спасибо. > С уважением. Делать можно что угодно, просто соблюдайте правила построения acl Почитайте например http://habrahabr.ru/post/121806/ или http://www.cisco.com/cisco/web/support/RU/9/92/92035_confacc...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Настройка acl (3560)"	+/–
	Сообщение от vlv (ok) on 28-Мрт-14, 16:24
	> Ну я вашей ситуации не знаю, так что причин может быть миллион. > Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки > на сторонние ресурсы с другим ip и браузер просто ждет их > загрузки с определенным таймаутом. Рано я радовался. При попытке прописать более одного ip-шника, перестает открывать нужные сайты. Делал, как Вы сказали Extended IP access list porte_block_test     10 permit tcp host 192.168.70.154 host 94.100.180.70     20 permit tcp host 192.168.70.114 host 94.100.180.70     30 permit tcp host 192.168.70.154 host 82.222.240.231     40 permit tcp host 192.168.70.114 host 82.222.240.231     50 deny tcp host 192.168.70.154 any eq www     50 deny tcp host 192.168.70.114 any eq www     50 permit ip 192.168.70.0 0.0.0.255 any (26 matches) При такой схеме сайт по второму адресу не открывается, почему-то. С уважением.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	10. "Настройка acl (3560)"	+/–
	Сообщение от jabbson (ok) on 26-Мрт-14, 12:13
	> В acl работает правило первого вхождения, надо просто поменять местами правила: > ip access-list extended porte_block >   permit tcp host 192.168.70.247 host 83.222.240.231 >   deny   tcp host 192.168.70.247 any eq www >   permit ip 192.168.70.0 0.0.0.255 any по условию было нужно "ограничить все, кроме локалки и одного сайта" (разрешить только локалку и один сайт). У Вас "ограничить все www, кроме одного сайта".
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Настройка acl (3560)"	+/–
Сообщение от kot095 (ok) on 27-Мрт-14, 15:31
>[оверквотинг удален] > Делаю так: > ip access-list extended porte_block >  deny   tcp host 192.168.70.247 any eq www >  permit ip 192.168.70.0 0.0.0.255 any >  permit tcp host 192.168.70.247 host 83.222.240.231 > В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа > не имеет. > Вопрос: где косяк? > Заранее благодарен. > С уважением. в вашем случае надо сначала нпаписать строчки разрешающие что вам нужно а после них просто запретить все (по умолчанию посл строка запрещает все, писать ее надо только для того чтобы не забыть об этом потом когда будуте лазить что то менять)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема