forum.opennet.ru - "Access-list" (24)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Access-list"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Access-list"
Сообщение от myasnik (ok) on 17-Фев-09, 09:45
Помогите пожалуйста, не знаю как сделать=) Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать через стандартный аксес-лист, а как это сделать через расширенный, ведь 2 листа на 1 интерфейс не повесишь.Как это сделать? Заранее спасибо!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Access-list, lumenous, 09:55 , 17-Фев-09, (1)

Access-list, myasnik, 09:58 , 17-Фев-09, (2)

Access-list, Avanty, 10:28 , 17-Фев-09, (3)

Access-list, myasnik, 16:59 , 17-Фев-09, (4)

Access-list, gagner, 19:56 , 17-Фев-09, (5)

Access-list, myasnik, 08:44 , 18-Фев-09, (6)

Access-list, Avanty, 09:38 , 18-Фев-09, (7)

Access-list, gagner, 16:56 , 19-Фев-09, (8)

Access-list, Avanty, 17:41 , 19-Фев-09, (9)
Access-list, PuffNutty, 17:46 , 19-Фев-09, (10)

Access-list, gagner, 20:44 , 24-Фев-09, (11)

Access-list, Avanty, 20:54 , 24-Фев-09, (12)

Access-list, gagner, 21:00 , 24-Фев-09, (13)

Access-list, bokl, 21:15 , 24-Фев-09, (14)
Access-list, bokl, 21:17 , 24-Фев-09, (15)

Access-list, bokl, 21:20 , 24-Фев-09, (16)
Access-list, Avanty, 21:41 , 24-Фев-09, (17)
Access-list, bokl, 21:51 , 24-Фев-09, (18)
Access-list, myasnik, 13:07 , 02-Мрт-09, (19)
Access-list, Avanty, 13:49 , 02-Мрт-09, (20)
Access-list, myasnik, 14:20 , 02-Мрт-09, (21)
Access-list, bokl, 14:50 , 02-Мрт-09, (22)
Access-list, myasnik, 09:02 , 03-Мрт-09, (23)
Access-list, Avanty, 09:48 , 03-Мрт-09, (24)

Сообщения по теме [Сортировка по времени | RSS]

1. "Access-list"

Сообщение от lumenous (ok) on 17-Фев-09, 09:55

>Помогите пожалуйста, не знаю как сделать=)
>Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ
>определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать
>через стандартный аксес-лист, а как это сделать через расширенный, ведь 2
>листа на 1 интерфейс не повесишь.Как это сделать?
>Заранее спасибо!
Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny.
Акцесслист по порядку проверяет до первого совпадения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Access-list"

Сообщение от myasnik (ok) on 17-Фев-09, 09:58

>Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny.
>
>Акцесслист по порядку проверяет до первого совпадения.
Можно подробнее, если не трудно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Access-list"

Сообщение от Avanty (ok) on 17-Фев-09, 10:28

>Помогите пожалуйста, не знаю как сделать=)
>Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ
>определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать
>через стандартный аксес-лист, а как это сделать через расширенный, ведь 2
>листа на 1 интерфейс не повесишь.Как это сделать?
>Заранее спасибо!
Почему это не повесишь 2 на интерфейс???  Если бы было нельзя-это был бы ахтунг ))
Пример1: в этом случае в инет ходят только 192.168.x.1 и 192.168.x.2, всем остальным доступ в инет запрещен
Switch(config)# access-list 102 permit ip 192.168.x.1 any
Switch(config)# access-list 102 permit ip 192.168.x.2 any
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 102 out
Пример2: Если допустим нужно запретить доступ к определенным сайтам всем  (при этом на все другие сайты в сети они ходить будут), а некоторым разрешить все.
Switch(config)# access-list 102 permit ip 192.168.x.1 any
Switch(config)# access-list 102 permit ip 192.168.x.2 any
Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74
Switch(config)# access-list 102 permit ip any any
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 102 out
т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Access-list"

Сообщение от myasnik (ok) on 17-Фев-09, 16:59

>[оверквотинг удален]
>этом на все другие сайты в сети они ходить будут), а
>некоторым разрешить все.
>Switch(config)# access-list 102 permit ip 192.168.x.1 any
>Switch(config)# access-list 102 permit ip 192.168.x.2 any
>Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74
>Switch(config)# access-list 102 permit ip any any
>Switch(config)# interface gigabitethernet1/0/1
>Switch(config-if)# ip access-group 102 out
>т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не
>имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены.
К сожалению не получается так сделать, все ip заходят по данному хосту (пример 2)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Access-list"

Сообщение от gagner (ok) on 17-Фев-09, 19:56

что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как вам уже сказали - и будет счастье. Если не получается, скиньте то, что нарисовали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Access-list"

Сообщение от myasnik (ok) on 18-Фев-09, 08:44

>что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как
>вам уже сказали - и будет счастье. Если не получается, скиньте
>то, что нарисовали.
access-list 102 permit ip host 192.168.123.9 any
access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250
access-list 102 permit ip any any
interface FastEthernet0/0
ip access-group 102 out

192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге по этому хосту ходят все! В чем ошибка?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Access-list"

Сообщение от Avanty (ok) on 18-Фев-09, 09:38

>access-list 102 permit ip host 192.168.123.9 any
>access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250
>access-list 102 permit ip any any
>interface FastEthernet0/0
>ip access-group 102 out
>
>
>192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге
>по этому хосту ходят все! В чем ошибка?
а ты уверен, что именно на этот ip все могут зайти. Попробуй с клиентской машины набрать в браузере этот адрес.
И вообще, скинь весь конфиг

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Access-list"

Сообщение от gagner (ok) on 19-Фев-09, 16:56

access-list 102 permit ip any any  - уберите.
interface FastEthernet0/0
ip access-group 102 out - почему аут? имхо, должно быть ин.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Access-list"

Сообщение от Avanty (ok) on 19-Фев-09, 17:41

>access-list 102 permit ip any any  - уберите.
а ты забыл что по умолчанию в acl дописывается deny ip any any ???
если не написать permit ip any any то ходить в инет в нашем примере сможет только 192.168.123.9

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Access-list"

Сообщение от PuffNutty (ok) on 19-Фев-09, 17:46

>access-list 102 permit ip any any  - уберите.
>
>interface FastEthernet0/0
>ip access-group 102 out - почему аут? имхо, должно быть ин.
FastEthernet0/0 это внешний или внутренний интерфейс? Если внутренний то ACL должен стоять in, если внешний, то out.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Access-list"

Сообщение от gagner (ok) on 24-Фев-09, 20:44

ммм... да. не права, permit ip any any не должен мешать. (все-таки лучше писать ACL, разрешая что-то конкретное и запрещая все остальное. как-то это разумнее ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Access-list"

Сообщение от Avanty (ok) on 24-Фев-09, 20:54

>
>Ты херишь свой deny строкой permit ip any any.
)))))))
Напиши свой вариант

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Access-list"

Сообщение от gagner (ok) on 24-Фев-09, 21:00

)) не надо стеба, вечер слишком томен для ясности мысли.
я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с натом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Access-list"

Сообщение от bokl on 24-Фев-09, 21:15

>)) не надо стеба, вечер слишком томен для ясности мысли.
>
>я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с
>натом.
дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл
ip access-list extended ACL
permit tcp 192.168.х.х 255.255.255.255 any eq www  // разрешить первому ввв
permit tcp 192.168.у.у 255.255.255.255 any eq www  // разрешить второму ввв
deny   tcp any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Access-list"

Сообщение от bokl on 24-Фев-09, 21:17

>)) не надо стеба, вечер слишком томен для ясности мысли.
>
>я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с
>натом.
дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл
ip access-list extended ACL
permit tcp 192.168.х.х 255.255.255.255 any eq www  // разрешить первому ввв
permit tcp 192.168.у.у 255.255.255.255 any eq www  // разрешить второму ввв
deny   tcp any any                                 // остальным нет
вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние адреса не обозначеные пермит будут на входе в циску отброшены.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Access-list"

Сообщение от bokl on 24-Фев-09, 21:20

>[оверквотинг удален]
>
>permit tcp 192.168.у.у 255.255.255.255 any eq www  // разрешить второму ввв
>
>deny   tcp any any
>
>
>    // остальным нет
>
>вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние
>адреса не обозначеные пермит будут на входе в циску отброшены.
ошибку в маске сделал. 0.0.0.0 надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Access-list"

Сообщение от Avanty (ok) on 24-Фев-09, 21:41

>
>ошибку в маске сделал. 0.0.0.0 надо
или проще просто host написать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Access-list"

Сообщение от bokl on 24-Фев-09, 21:51

при составлении ацл исходить надо из 2 вариантов.
1)разрешить все что не запрещено
2)запретить все что не разрешено
мешать правила не стоит помоуму, каша получаться будет. если очень надо, то как грится дебаж в волю sh ip access-list ACL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Access-list"

Сообщение от myasnik (ok) on 02-Мрт-09, 13:07

>[оверквотинг удален]
>
>permit tcp 192.168.у.у 255.255.255.255 any eq www  // разрешить второму ввв
>
>deny   tcp any any
>
>
>    // остальным нет
>
>вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние
>адреса не обозначеные пермит будут на входе в циску отброшены.
При таком раскладе в инет залезают, те кто в пермите, а мне нужно чтобы лезли все, но не на все хосты, а один-два человека ходили везде. Вот такого я сделать не могу, не получается.
Выкладываю часть конфига:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ccme
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable password x xxxxxxxxxxxxxxxx
!
no aaa new-model
!
resource policy
!
clock timezone GMT 3
clock summer-time GMT recurring
!
!
ip cef
!
!
ip domain name yourdomain.com
ip name-server x.x.x.x
ip name-server x.x.x.x
!
!
voice-card 0
no dspfarm
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.x.x 255.255.255.0
ip access-group 110 in
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface FastEthernet0/0 overload
!
access-list 100 permit ip any any
access-list 110 deny   ip host 195.82.146.114 any
access-list 110 deny   ip 93.186.227.120 0.0.0.7 any
access-list 110 deny   ip 212.119.216.0 0.0.0.7 any
access-list 110 deny   ip 93.186.224.232 0.0.0.7 any
access-list 110 deny   ip 93.186.226.4 0.0.0.3 any
access-list 110 deny   ip 194.186.55.168 0.0.0.3 any
access-list 110 deny   ip 93.186.226.128 0.0.0.3 any
access-list 110 deny   ip host 93.186.225.6 any
access-list 110 deny   ip 93.186.225.208 0.0.0.7 any
access-list 110 deny   ip host 94.100.179.250 any
access-list 110 permit ip any any
access-list 199 permit ip 192.168.123.0 0.0.0.255 any
!
!
tftp-server flash:P00307020200.bin
tftp-server flash:P00307020200.loads
tftp-server flash:P00307020200.sbn
tftp-server flash:P00307020200.sb2
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
password x xxxxxxxxxxxxxxxx
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server x.x.x.x
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Access-list"

Сообщение от Avanty (ok) on 02-Мрт-09, 13:49

Сотри все и сделай так:
access-list 110 permit ip 192.168.123.0 0.0.0.255 any
access-list 110 deny   ip host 195.82.146.114 any
access-list 110 deny   ip 93.186.227.120 0.0.0.7 any
access-list 110 deny   ip 212.119.216.0 0.0.0.7 any
access-list 110 deny   ip 93.186.224.232 0.0.0.7 any
access-list 110 deny   ip 93.186.226.4 0.0.0.3 any
access-list 110 deny   ip 194.186.55.168 0.0.0.3 any
access-list 110 deny   ip 93.186.226.128 0.0.0.3 any
access-list 110 deny   ip host 93.186.225.6 any
access-list 110 deny   ip 93.186.225.208 0.0.0.7 any
access-list 110 deny   ip host 94.100.179.250 any
access-list 110 permit ip any any

и вообще , что это ты за внешние сетки и хосты режешь на внутреннем интерфейсе?
если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно пишешь.
Пример: запретить доступ на хост 195.82.146.114 :
access-list 110 deny   ip  any   host 195.82.146.114
после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Access-list"

Сообщение от myasnik (ok) on 02-Мрт-09, 14:20

>[оверквотинг удален]
>на внутреннем интерфейсе?
>если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно
>пишешь.
>
>Пример: запретить доступ на хост 195.82.146.114 :
>
>access-list 110 deny   ip  any   host 195.82.146.114
>
>
>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)
Сделал так:
создал еще один лист
Extended IP access list 102
    10 permit ip host 192.168.123.9 any
    20 deny ip any host 195.82.146.114
    30 permit ip any any (7376 matches)
и повесил его на fe0/0 как in, 110 лист убрал.
в итоге host 195.82.146.114 пингуют все, а так не должно быть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Access-list"

Сообщение от bokl on 02-Мрт-09, 14:50

>[оверквотинг удален]
>>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)
>
>Сделал так:
>создал еще один лист
>Extended IP access list 102
>    10 permit ip host 192.168.123.9 any
>    20 deny ip any host 195.82.146.114
>    30 permit ip any any (7376 matches)
>и повесил его на fe0/0 как in, 110 лист убрал.
>в итоге host 195.82.146.114 пингуют все, а так не должно быть.
не сработало правило deny ip any host 195.82.146.114  ни разу. может в адресах ошибся?
видно, что всегда срабатывает 30 permit ip any any . целых 7376 matches.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Access-list"

Сообщение от myasnik (ok) on 03-Мрт-09, 09:02

Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку:
ip nat inside source list 100 interface FastEthernet0/0 overload
Указать тот лист в котором прописаны запреты и разрешения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Access-list"

Сообщение от Avanty (ok) on 03-Мрт-09, 09:48

>Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку:
>
>
>ip nat inside source list 100 interface FastEthernet0/0 overload
>
>Указать тот лист в котором прописаны запреты и разрешения.
вообще то тут нужно указывать лист внутренних адресов, т.е. пул адресов юзеров.
ip nat inside source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Access-list"
Сообщение от lumenous (ok) on 17-Фев-09, 09:55
>Помогите пожалуйста, не знаю как сделать=) >Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ >определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать >через стандартный аксес-лист, а как это сделать через расширенный, ведь 2 >листа на 1 интерфейс не повесишь.Как это сделать? >Заранее спасибо! Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny. Акцесслист по порядку проверяет до первого совпадения.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Access-list"
	Сообщение от myasnik (ok) on 17-Фев-09, 09:58
	>Сначала разреши определеным ипам через permit. Потом запрети всем остальным через deny. > >Акцесслист по порядку проверяет до первого совпадения. Можно подробнее, если не трудно
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Access-list"
Сообщение от Avanty (ok) on 17-Фев-09, 10:28
>Помогите пожалуйста, не знаю как сделать=) >Закрыл всем доступ к сайтам через access-list extended. Теперь хочу открыть доступ >определеным лицам по ip (например 192.168.x.x). Видел, что можно это сделать >через стандартный аксес-лист, а как это сделать через расширенный, ведь 2 >листа на 1 интерфейс не повесишь.Как это сделать? >Заранее спасибо! Почему это не повесишь 2 на интерфейс??? Если бы было нельзя-это был бы ахтунг )) Пример1: в этом случае в инет ходят только 192.168.x.1 и 192.168.x.2, всем остальным доступ в инет запрещен Switch(config)# access-list 102 permit ip 192.168.x.1 any Switch(config)# access-list 102 permit ip 192.168.x.2 any Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip access-group 102 out Пример2: Если допустим нужно запретить доступ к определенным сайтам всем (при этом на все другие сайты в сети они ходить будут), а некоторым разрешить все. Switch(config)# access-list 102 permit ip 192.168.x.1 any Switch(config)# access-list 102 permit ip 192.168.x.2 any Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74 Switch(config)# access-list 102 permit ip any any Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip access-group 102 out т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Access-list"
	Сообщение от myasnik (ok) on 17-Фев-09, 16:59
	>[оверквотинг удален] >этом на все другие сайты в сети они ходить будут), а >некоторым разрешить все. >Switch(config)# access-list 102 permit ip 192.168.x.1 any >Switch(config)# access-list 102 permit ip 192.168.x.2 any >Switch(config)# access-list 102 deny ip 192.168.x.0 0.0.0.255 host 67.78.25.74 >Switch(config)# access-list 102 permit ip any any >Switch(config)# interface gigabitethernet1/0/1 >Switch(config-if)# ip access-group 102 out >т.е. 192.168.x.1 и 192.168.x.2 могут ходить везде; вся остальная подсеть 192.168.x.0 не >имеет доступ только к сайту 67.78.25.74, все другие сайты разрешены. К сожалению не получается так сделать, все ip заходят по данному хосту (пример 2)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Access-list"
	Сообщение от gagner (ok) on 17-Фев-09, 19:56
	что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как вам уже сказали - и будет счастье. Если не получается, скиньте то, что нарисовали.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Access-list"
	Сообщение от myasnik (ok) on 18-Фев-09, 08:44
	>что значит "все ip заходят по данному хосту"? Нарисуйте extended ACL, как >вам уже сказали - и будет счастье. Если не получается, скиньте >то, что нарисовали. access-list 102 permit ip host 192.168.123.9 any access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250 access-list 102 permit ip any any interface FastEthernet0/0 ip access-group 102 out 192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге по этому хосту ходят все! В чем ошибка?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Access-list"
	Сообщение от Avanty (ok) on 18-Фев-09, 09:38
	>access-list 102 permit ip host 192.168.123.9 any >access-list 102 deny ip 192.168.123.0 0.0.0.255 host 94.100.179.250 >access-list 102 permit ip any any >interface FastEthernet0/0 >ip access-group 102 out > > >192.168.123.9 разрешено все, остальным запрет к сайту по хосту 94.100.179.250. В итоге >по этому хосту ходят все! В чем ошибка? а ты уверен, что именно на этот ip все могут зайти. Попробуй с клиентской машины набрать в браузере этот адрес. И вообще, скинь весь конфиг
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Access-list"
	Сообщение от gagner (ok) on 19-Фев-09, 16:56
	access-list 102 permit ip any any - уберите. interface FastEthernet0/0 ip access-group 102 out - почему аут? имхо, должно быть ин.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Access-list"
	Сообщение от Avanty (ok) on 19-Фев-09, 17:41
	>access-list 102 permit ip any any - уберите. а ты забыл что по умолчанию в acl дописывается deny ip any any ??? если не написать permit ip any any то ходить в инет в нашем примере сможет только 192.168.123.9
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Access-list"
	Сообщение от PuffNutty (ok) on 19-Фев-09, 17:46
	>access-list 102 permit ip any any - уберите. > >interface FastEthernet0/0 >ip access-group 102 out - почему аут? имхо, должно быть ин. FastEthernet0/0 это внешний или внутренний интерфейс? Если внутренний то ACL должен стоять in, если внешний, то out.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Access-list"
	Сообщение от gagner (ok) on 24-Фев-09, 20:44
	ммм... да. не права, permit ip any any не должен мешать. (все-таки лучше писать ACL, разрешая что-то конкретное и запрещая все остальное. как-то это разумнее ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Access-list"
	Сообщение от Avanty (ok) on 24-Фев-09, 20:54
	> >Ты херишь свой deny строкой permit ip any any. ))))))) Напиши свой вариант
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Access-list"
	Сообщение от gagner (ok) on 24-Фев-09, 21:00
	)) не надо стеба, вечер слишком томен для ясности мысли. я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с натом.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Access-list"
	Сообщение от bokl on 24-Фев-09, 21:15
	>)) не надо стеба, вечер слишком томен для ясности мысли. > >я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с >натом. дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл ip access-list extended ACL permit tcp 192.168.х.х 255.255.255.255 any eq www // разрешить первому ввв permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв deny tcp any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Access-list"
	Сообщение от bokl on 24-Фев-09, 21:17
	>)) не надо стеба, вечер слишком томен для ясности мысли. > >я бы посмотрела на остальной конфиг. при таком раскладе часто косячат с >натом. дык у чувака работает нат то. в инет ж лезут его юзеры. а вот ацл ip access-list extended ACL permit tcp 192.168.х.х 255.255.255.255 any eq www // разрешить первому ввв permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв deny tcp any any // остальным нет вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние адреса не обозначеные пермит будут на входе в циску отброшены.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Access-list"
	Сообщение от bokl on 24-Фев-09, 21:20
	>[оверквотинг удален] > >permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв > >deny tcp any any > > > // остальным нет > >вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние >адреса не обозначеные пермит будут на входе в циску отброшены. ошибку в маске сделал. 0.0.0.0 надо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Access-list"
	Сообщение от Avanty (ok) on 24-Фев-09, 21:41
	> >ошибку в маске сделал. 0.0.0.0 надо или проще просто host написать
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Access-list"
	Сообщение от bokl on 24-Фев-09, 21:51
	при составлении ацл исходить надо из 2 вариантов. 1)разрешить все что не запрещено 2)запретить все что не разрешено мешать правила не стоит помоуму, каша получаться будет. если очень надо, то как грится дебаж в волю sh ip access-list ACL
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Access-list"
	Сообщение от myasnik (ok) on 02-Мрт-09, 13:07
	>[оверквотинг удален] > >permit tcp 192.168.у.у 255.255.255.255 any eq www // разрешить второму ввв > >deny tcp any any > > > // остальным нет > >вешаешь на внутренний интерфейс, НЕ НА ВНЕШНИЙ!!!!, и делаешь in. все внутренние >адреса не обозначеные пермит будут на входе в циску отброшены. При таком раскладе в инет залезают, те кто в пермите, а мне нужно чтобы лезли все, но не на все хосты, а один-два человека ходили везде. Вот такого я сделать не могу, не получается. Выкладываю часть конфига: version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ccme ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable password x xxxxxxxxxxxxxxxx ! no aaa new-model ! resource policy ! clock timezone GMT 3 clock summer-time GMT recurring ! ! ip cef ! ! ip domain name yourdomain.com ip name-server x.x.x.x ip name-server x.x.x.x ! ! voice-card 0 no dspfarm ! ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$ ip address 192.168.x.x 255.255.255.0 ip access-group 110 in ip nat outside duplex auto speed auto ! interface FastEthernet0/1 no ip address ip nat inside duplex auto speed auto ! interface Vlan1 no ip address ! ip route 0.0.0.0 0.0.0.0 x.x.x.x ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 100 interface FastEthernet0/0 overload ! access-list 100 permit ip any any access-list 110 deny ip host 195.82.146.114 any access-list 110 deny ip 93.186.227.120 0.0.0.7 any access-list 110 deny ip 212.119.216.0 0.0.0.7 any access-list 110 deny ip 93.186.224.232 0.0.0.7 any access-list 110 deny ip 93.186.226.4 0.0.0.3 any access-list 110 deny ip 194.186.55.168 0.0.0.3 any access-list 110 deny ip 93.186.226.128 0.0.0.3 any access-list 110 deny ip host 93.186.225.6 any access-list 110 deny ip 93.186.225.208 0.0.0.7 any access-list 110 deny ip host 94.100.179.250 any access-list 110 permit ip any any access-list 199 permit ip 192.168.123.0 0.0.0.255 any ! ! tftp-server flash:P00307020200.bin tftp-server flash:P00307020200.loads tftp-server flash:P00307020200.sbn tftp-server flash:P00307020200.sb2 ! control-plane ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 password x xxxxxxxxxxxxxxxx login local transport input telnet ssh ! scheduler allocate 20000 1000 ntp server x.x.x.x ! end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Access-list"
	Сообщение от Avanty (ok) on 02-Мрт-09, 13:49
	Сотри все и сделай так: access-list 110 permit ip 192.168.123.0 0.0.0.255 any access-list 110 deny ip host 195.82.146.114 any access-list 110 deny ip 93.186.227.120 0.0.0.7 any access-list 110 deny ip 212.119.216.0 0.0.0.7 any access-list 110 deny ip 93.186.224.232 0.0.0.7 any access-list 110 deny ip 93.186.226.4 0.0.0.3 any access-list 110 deny ip 194.186.55.168 0.0.0.3 any access-list 110 deny ip 93.186.226.128 0.0.0.3 any access-list 110 deny ip host 93.186.225.6 any access-list 110 deny ip 93.186.225.208 0.0.0.7 any access-list 110 deny ip host 94.100.179.250 any access-list 110 permit ip any any и вообще , что это ты за внешние сетки и хосты режешь на внутреннем интерфейсе? если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно пишешь. Пример: запретить доступ на хост 195.82.146.114 : access-list 110 deny ip any host 195.82.146.114 после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Access-list"
	Сообщение от myasnik (ok) on 02-Мрт-09, 14:20
	>[оверквотинг удален] >на внутреннем интерфейсе? >если это адреса сайтов, на которых нужно запретить доступ, то ты неправильно >пишешь. > >Пример: запретить доступ на хост 195.82.146.114 : > >access-list 110 deny ip any host 195.82.146.114 > > >после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта) Сделал так: создал еще один лист Extended IP access list 102 10 permit ip host 192.168.123.9 any 20 deny ip any host 195.82.146.114 30 permit ip any any (7376 matches) и повесил его на fe0/0 как in, 110 лист убрал. в итоге host 195.82.146.114 пингуют все, а так не должно быть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Access-list"
	Сообщение от bokl on 02-Мрт-09, 14:50
	>[оверквотинг удален] >>после ip пишется source (адрес юзера) потом distination (т.е. адрес сайта) > >Сделал так: >создал еще один лист >Extended IP access list 102 > 10 permit ip host 192.168.123.9 any > 20 deny ip any host 195.82.146.114 > 30 permit ip any any (7376 matches) >и повесил его на fe0/0 как in, 110 лист убрал. >в итоге host 195.82.146.114 пингуют все, а так не должно быть. не сработало правило deny ip any host 195.82.146.114 ни разу. может в адресах ошибся? видно, что всегда срабатывает 30 permit ip any any . целых 7376 matches.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Access-list"
	Сообщение от myasnik (ok) on 03-Мрт-09, 09:02
	Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку: ip nat inside source list 100 interface FastEthernet0/0 overload Указать тот лист в котором прописаны запреты и разрешения.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Access-list"
	Сообщение от Avanty (ok) on 03-Мрт-09, 09:48
	>Всем спасибо! Все получилось, всего лишь нужно было исправить вот эту строчку: > > >ip nat inside source list 100 interface FastEthernet0/0 overload > >Указать тот лист в котором прописаны запреты и разрешения. вообще то тут нужно указывать лист внутренних адресов, т.е. пул адресов юзеров. ip nat inside source list 1 interface FastEthernet0/0 overload ! access-list 1 permit 192.168.1.0 0.0.0.255
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]