форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Помогите с простой задачкой"		+/–
Сообщение от Saneman (ok) on 18-Июн-09, 15:29
Доброго времени суток! Помогите разобраться с тивиальной задачкой.. Есть две сети 192.168.1.0/24 и 192.168.2.0/24. Нужно заблокировать доступ к одной машине (к примеру 192.168.1.200) в сети 192.168.1.0/24 с маршрутизатора (cisco 1840). Вроде все просто при использовании "стандартного списка доступа": interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 2 in . . access-list 2 deny host 192.168.1.200 access-list 2 permit any ping c маршрутизатора на 192.168.1.200 не идет (что мне и нужно), зато вся сеть (192.168.1.0/24) видна. Хост 192.168.1.200 из сети (192.168.2.0/24) не виден. Т.е все работает! Но проблема в том, что мне крайне нужно использовать "расширенный список доступа": interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 102 in . . access-list 102 deny ip any host 192.168.1.200 access-list 102 permit ip any any Запускаю ping с маршрутизатора на 192.168.1.200 и он отчего-то проходит, и вся сеть (192.168.1.0/24) видна. Причем 192.168.1.200 виден и с сети (192.168.2.0/24). Вместо access-list 2 permit ip any any пробовал access-list 2 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 ничего не помогло. :( Как бы решить задачку блокировки машины с маршрутизатора с использованием "расширенным списком доступа"? На всякий случай выкладываю config. Говорю сразу, что маршрутизатор соединяет две внутренние сети version 12.3 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname office ! boot-start-marker boot-end-marker ! no logging console ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero ip cef ! ! no ftp-server write-enable ! interface FastEthernet0/0 description OFFICE LAN ip address 192.168.1.1 255.255.255.0 ip access-group 102 in ip accounting output-packets duplex auto speed auto no cdp enable ! interface FastEthernet0/1 description LAN_2 2.0 ip address 192.168.2.1 no ip address duplex auto speed auto no cdp enable ! interface Serial0/0/0 no ip address encapsulation frame-relay IETF no ip mroute-cache no fair-queue clockrate 2000000 frame-relay traffic-shaping frame-relay lmi-type ansi ! interface Serial0/0/0.16 point-to-point ip accounting output-packets no ip mroute-cache no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.1.2 ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 ip route 192.168.2.0 255.255.255.0 FastEthernet0/1 no ip http server ! ! ! map-class frame-relay data frame-relay cir 512000 frame-relay bc 512000 frame-relay be 512000 ! map-class frame-relay voice access-list 102 deny   ip any host 192.168.5.205 access-list 102 permit ip any any no cdp run ! control-plane !
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите с простой задачкой"		+/–
Сообщение от Myxa (??) on 18-Июн-09, 16:08
>Запускаю ping с маршрутизатора на 192.168.1.200 и он отчего-то проходит, и вся >сеть (192.168.1.0/24) видна. Логично, что б закрыть именно пинг, фильтруйте icmp, а не ip
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Помогите с простой задачкой"		+/–
	Сообщение от sh_ (ok) on 18-Июн-09, 16:22
	2Муха Нет. no access-list 102 access-list 102 deny ip host 192.168.1.200 any access-list 102 permit ip any any
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Помогите с простой задачкой"		+/–
	Сообщение от Saneman (ok) on 18-Июн-09, 16:48
	>Нет. > >no access-list 102 >access-list 102 deny ip host 192.168.1.200 any >access-list 102 permit ip any any Вариант (Муха): access-list 102 deny icmp any host 192.168.1.200 access-list 102 permit ip any any Картину не изменил, а ваш: access-list 102 deny ip host 192.168.1.200 any access-list 102 permit ip any any работает. Вопрос: на ваш взгляд я могу добавить вот так, чтоб работало: access-list 102 permit tcp host 192.168.2.5 host 192.168.1.200 eq telnet access-list 102 deny ip host 192.168.1.200 any access-list 102 permit ip any any нужен доступ к 192.168.1.200 только с одной машины (192.168.2.5), а тестовый полигон собирать накладно для проверки..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Помогите с простой задачкой"		+/–
	Сообщение от sh_ (ok) on 18-Июн-09, 17:28
	>access-list 102 permit tcp host 192.168.2.5 host 192.168.1.200 eq telnet >access-list 102 deny ip host 192.168.1.200 any >access-list 102 permit ip any any > >нужен доступ к 192.168.1.200 только с одной машины (192.168.2.5), Вы опять перепутали src и dst. У вас acl применен в направлении in на интерфейсе 192.168.1/24 access-list 102 permit tcp host 192.168.1.200 eq telnet host 192.168.2.5   access-list 102 deny ip host 192.168.1.200 any access-list 102 permit ip any any И уберите ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 ip route 192.168.2.0 255.255.255.0 FastEthernet0/1 оно не нужно...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Помогите с простой задачкой"		+/–
	Сообщение от Saneman (??) on 19-Июн-09, 09:34
	>[оверквотинг удален] >in на интерфейсе 192.168.1/24 > >access-list 102 permit tcp host 192.168.1.200 eq telnet host 192.168.2.5 >access-list 102 deny ip host 192.168.1.200 any >access-list 102 permit ip any any > >И уберите >ip route 192.168.1.0 255.255.255.0 FastEthernet0/0 >ip route 192.168.2.0 255.255.255.0 FastEthernet0/1 >оно не нужно... Огромное спасибо за помощь!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]