forum.opennet.ru - "как правильно написать" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"как правильно написать"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"как правильно написать"
Сообщение от sumac on 06-Окт-04, 15:43 (MSK)
господа, помогите! как мне правильно написать access-list для таких условий. есть хост с адресом 192.168.0.10 есть поганый сайт Дамочка.ру с ип 81.176.79.141 как должен должен выглядить расширенный акссесс чтобы юзер не мог попасть именно на этой сайт а на другие мог.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

как правильно написать, yav, 15:56 , 06-Окт-04, (1)
- как правильно написать, citrin, 16:01 , 06-Окт-04, (2)
  - как правильно написать, sumac, 11:33 , 07-Окт-04, (3)
    - как правильно написать, citrin, 11:38 , 07-Окт-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "как правильно написать"

Сообщение от yav (??) on 06-Окт-04, 15:56  (MSK)

создаем ACL:
access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
access-list 101 permit ip any any
и вешаем его на выход интерфейса циски:
interface fastethernet x/x
ip access-group 101 out

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "как правильно написать"

Сообщение от citrin (ok) on 06-Окт-04, 16:01  (MSK)

> создаем ACL:
>access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
>access-list 101 permit ip any any
>
> и вешаем его на выход интерфейса циски:
>interface fastethernet x/x
> ip access-group 101 out
Лучше этот лист повеисть на том интерфейсе, через который подключен 192.168.0.10 для входящих пакетов.
Если трафик маленький разницы нет. Но при большом трафике то что нужно резать, лучше резать как можно раньше, чтоб не тратить ресурсы на маршрутизацию пакетов, которые все равно на выходе будут дропнуты.
Или если объемы трафика через разные интерфейсы сильно отличаются лучше вешать на тот, где трафик меньше.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "как правильно написать"

Сообщение от sumac on 07-Окт-04, 11:33  (MSK)

Благодарствую, тему просек.
Еще чисто ламерский вопрос, можно ли на один интрефейс например seria0  повесить расширенный и нерасширейнный аксесс, они будут конфликтовать друг с другом, напимер
int seria0
access-group 101 out

access-list 1 deny 192.168.0.3
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
access-list 101 permit ip any any
Вопрос надоли убирать аксесс-лист1  или будут и так работать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "как правильно написать"

Сообщение от citrin (ok) on 07-Окт-04, 11:38  (MSK)

>int seria0
>access-group 101 out
>
>
>access-list 1 deny 192.168.0.3
>access-list 1 permit 192.168.0.0 0.0.0.255
>
>access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80
>access-list 101 permit ip any any
на один интерфейс можно повесить только два акцесс листа - один для исходящего, другой для входящего трафик.
При таком конфиге будет использоваться только 101. А есть ли в конфиге 1-й ни на что не влияет. Можно удалить, а можно оставить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "как правильно написать"
Сообщение от yav (??) on 06-Окт-04, 15:56 (MSK)
создаем ACL: access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80 access-list 101 permit ip any any и вешаем его на выход интерфейса циски: interface fastethernet x/x ip access-group 101 out
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "как правильно написать"
	Сообщение от citrin (ok) on 06-Окт-04, 16:01 (MSK)
	> создаем ACL: >access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80 >access-list 101 permit ip any any > > и вешаем его на выход интерфейса циски: >interface fastethernet x/x > ip access-group 101 out Лучше этот лист повеисть на том интерфейсе, через который подключен 192.168.0.10 для входящих пакетов. Если трафик маленький разницы нет. Но при большом трафике то что нужно резать, лучше резать как можно раньше, чтоб не тратить ресурсы на маршрутизацию пакетов, которые все равно на выходе будут дропнуты. Или если объемы трафика через разные интерфейсы сильно отличаются лучше вешать на тот, где трафик меньше.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "как правильно написать"
	Сообщение от sumac on 07-Окт-04, 11:33 (MSK)
	Благодарствую, тему просек. Еще чисто ламерский вопрос, можно ли на один интрефейс например seria0 повесить расширенный и нерасширейнный аксесс, они будут конфликтовать друг с другом, напимер int seria0 access-group 101 out access-list 1 deny 192.168.0.3 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80 access-list 101 permit ip any any Вопрос надоли убирать аксесс-лист1 или будут и так работать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "как правильно написать"
	Сообщение от citrin (ok) on 07-Окт-04, 11:38 (MSK)
	>int seria0 >access-group 101 out > > >access-list 1 deny 192.168.0.3 >access-list 1 permit 192.168.0.0 0.0.0.255 > >access-list 101 deny tcp host 192.168.0.10 host 81.176.79.141 eq 80 >access-list 101 permit ip any any на один интерфейс можно повесить только два акцесс листа - один для исходящего, другой для входящего трафик. При таком конфиге будет использоваться только 101. А есть ли в конфиге 1-й ни на что не влияет. Можно удалить, а можно оставить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх