- Настройка acl (3560),
 Merridius, 15:52 , 25-Мрт-14 (1)> permit ip 192.168.70.0 0.0.0.255 any
> permit tcp host 192.168.70.247 host 83.222.240.231 У вас вторая строка перекрывает третью. Вешаете АКЛ куда и в какую сторону?
- Настройка acl (3560), vlv, 16:12 , 25-Мрт-14 (3)
>> permit ip 192.168.70.0 0.0.0.255 any
>> permit tcp host 192.168.70.247 host 83.222.240.231
> У вас вторая строка перекрывает третью.
> Вешаете АКЛ куда и в какую сторону?interface GigabitEthernet0/7
description Switch16 v servernoi
switchport access vlan 70
switchport mode access
ip access-group porte_block in Вы про это? С уважением
- Настройка acl (3560), jabbson, 15:54 , 25-Мрт-14 (2)
>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
> deny tcp host 192.168.70.247 any eq www
> permit ip 192.168.70.0 0.0.0.255 any
> permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.ip access-list extended porte_block
permit ip host 192.168.70.247 <localnet invertmask>
permit tcp host 192.168.70.247 host 83.222.240.231
deny ip host 192.168.70.247 any
permit ip any any + dns не забыть, если по имени к сайту обращаетесь и за ним нужно сходить на DNS сервер.
и на in на интерфейс
- Настройка acl (3560), vlv, 16:18 , 25-Мрт-14 (4)
> ip access-list extended porte_block
> permit ip host 192.168.70.247 <localnet invertmask>
> permit tcp host 192.168.70.247 host 83.222.240.231
> deny ip host 192.168.70.247 any
> permit ip any any
> + dns не забыть, если по имени к сайту обращаетесь и за
> ним нужно сходить на DNS сервер.
> и на in на интерфейс Дико извиняюсь, <localnet invertmask> - это о чем?
С уважением
- Настройка acl (3560), xartx2014, 02:48 , 26-Мрт-14 (5)
>> ip access-list extended porte_block
>> permit ip host 192.168.70.247 <localnet invertmask>
>> permit tcp host 192.168.70.247 host 83.222.240.231
>> deny ip host 192.168.70.247 any
>> permit ip any any
>> + dns не забыть, если по имени к сайту обращаетесь и за
>> ним нужно сходить на DNS сервер.
>> и на in на интерфейс
> Дико извиняюсь, <localnet invertmask> - это о чем?
> С уважением <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0
- Настройка acl (3560), vlv, 10:29 , 26-Мрт-14 (7)
> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0 Хм. Он в данном случае маску не предлагает прописать 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?
A.B.C.D Destination address
any Any destination host
host A single destination host Только эти варианты. С уважением.
- Настройка acl (3560), jabbson, 10:35 , 26-Мрт-14 (8)
>> <localnet invertmask> 0.0.0.255, то есть0.0.0.255=255.255.255.0 или 0.0.255.255=255.255.0.0
> Хм. Он в данном случае маску не предлагает прописать
> 3560-Voshod(config-ext-nacl)#permit ip host 192.168.70.247 ?
> A.B.C.D Destination address
> any Any destination host
> host A single destination host
> Только эти варианты.
> С уважением.Потому что Вам расшифровали так мое сообщение. Localnet - адрес локальной сети, invertmask - обратная маска.
- Настройка acl (3560), gfh, 08:33 , 26-Мрт-14 (6)
>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
> deny tcp host 192.168.70.247 any eq www
> permit ip 192.168.70.0 0.0.0.255 any
> permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.В acl работает правило первого вхождения, надо просто поменять местами правила: ip access-list extended porte_block
permit tcp host 192.168.70.247 host 83.222.240.231
deny tcp host 192.168.70.247 any eq www
permit ip 192.168.70.0 0.0.0.255 any
- Настройка acl (3560), vlv, 10:42 , 26-Мрт-14 (9)
> В acl работает правило первого вхождения, надо просто поменять местами правила:
> ip access-list extended porte_block
> permit tcp host 192.168.70.247 host 83.222.240.231
> deny tcp host 192.168.70.247 any eq www
> permit ip 192.168.70.0 0.0.0.255 any !!!!! Благодарствую!!!! Спасибо огромное!
Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта? Заранее спасибо.
С уважением.
- Настройка acl (3560), gfh, 16:00 , 26-Мрт-14 (11)
> !!!!! Благодарствую!!!! Спасибо огромное!
> Единственный вопрос: почему так долго "думает" перед открытием разрешенного сайта?
> Заранее спасибо.
> С уважением.Ну я вашей ситуации не знаю, так что причин может быть миллион. Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки на сторонние ресурсы с другим ip и браузер просто ждет их загрузки с определенным таймаутом.
- Настройка acl (3560), vlv, 17:13 , 27-Мрт-14 (13)
> Ну я вашей ситуации не знаю, так что причин может быть миллион.
> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
> на сторонние ресурсы с другим ip и браузер просто ждет их
> загрузки с определенным таймаутом. Еще раз огромная благодарность за помощь.
А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?
Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и разрешение на все остальные ip-шники. Заранее спасибо.
С уважением.
- Настройка acl (3560), gfh, 17:42 , 27-Мрт-14 (14)
>> Ну я вашей ситуации не знаю, так что причин может быть миллион.
>> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
>> на сторонние ресурсы с другим ip и браузер просто ждет их
>> загрузки с определенным таймаутом.
> Еще раз огромная благодарность за помощь.
> А скажите, можно ли Вашу схему использовать для нескольких ip-шников (внутренних)?
> Т.е. сначала разрешение нескольким ip-шникам, потом запрет им на все www и
> разрешение на все остальные ip-шники.
> Заранее спасибо.
> С уважением.Делать можно что угодно, просто соблюдайте правила построения acl
Почитайте например http://habrahabr.ru/post/121806/ или http://www.cisco.com/cisco/web/support/RU/9/92/92035_confacc...
- Настройка acl (3560), vlv, 16:24 , 28-Мрт-14 (15)
> Ну я вашей ситуации не знаю, так что причин может быть миллион.
> Думаю самое вероятное (99.9%), что на этом сайте (83.222.240.231) висят ссылки
> на сторонние ресурсы с другим ip и браузер просто ждет их
> загрузки с определенным таймаутом.Рано я радовался. При попытке прописать более одного ip-шника, перестает открывать нужные сайты.
Делал, как Вы сказали
Extended IP access list porte_block_test
10 permit tcp host 192.168.70.154 host 94.100.180.70
20 permit tcp host 192.168.70.114 host 94.100.180.70
30 permit tcp host 192.168.70.154 host 82.222.240.231
40 permit tcp host 192.168.70.114 host 82.222.240.231
50 deny tcp host 192.168.70.154 any eq www
50 deny tcp host 192.168.70.114 any eq www
50 permit ip 192.168.70.0 0.0.0.255 any (26 matches) При такой схеме сайт по второму адресу не открывается, почему-то. С уважением.
- Настройка acl (3560), jabbson, 12:13 , 26-Мрт-14 (10)
> В acl работает правило первого вхождения, надо просто поменять местами правила:
> ip access-list extended porte_block
> permit tcp host 192.168.70.247 host 83.222.240.231
> deny tcp host 192.168.70.247 any eq www
> permit ip 192.168.70.0 0.0.0.255 any по условию было нужно "ограничить все, кроме локалки и одного сайта" (разрешить только локалку и один сайт). У Вас "ограничить все www, кроме одного сайта".
- Настройка acl (3560), kot095, 15:31 , 27-Мрт-14 (12)
>[оверквотинг удален]
> Делаю так:
> ip access-list extended porte_block
> deny tcp host 192.168.70.247 any eq www
> permit ip 192.168.70.0 0.0.0.255 any
> permit tcp host 192.168.70.247 host 83.222.240.231
> В итоге получаю, что даже на указанный сайт нужный мне ip-шник доступа
> не имеет.
> Вопрос: где косяк?
> Заранее благодарен.
> С уважением.в вашем случае надо сначала нпаписать строчки разрешающие что вам нужно а после них просто запретить все (по умолчанию посл строка запрещает все, писать ее надо только для того чтобы не забыть об этом потом когда будуте лазить что то менять)
|
Версия для распечатки
Настройка acl (3560), 
