 Cisco 1841 + Extended ACL + блокировка доступа в инет,  den, 27-Ноя-08, 10:50 [смотреть все]Ситуация следующая, использую Extended ACl для блокировки исходящего трафика.как можно запретить доступ к сайтам с подсети, за исключением прокси-сервера, т.е. если трафик на 80,443 порты, то пропускаем только ИП прокси-сервера, если другие Ип из подсети, доступ блокирум. 192.168.0.1 - прокси
192.168.0.0/24 - подсеть
83.83.83.83 - внешний ИП пробовал следующим образом:
ip access-list extended acl_out
deny ip any 192.168.0.0 0.0.255.255
permit tcp host 192.168.0.1 any eq www
deny tcp 192.168.0.0 0.0.0.255 any eq www
permit ip host 83.83.83.83 any
deny ip any any log Подскажите где не прав....
|
- Cisco 1841 + Extended ACL + блокировка доступа в инет, blank, 10:56 , 27-Ноя-08 (1)
>[оверквотинг удален]
>
>пробовал следующим образом:
>ip access-list extended acl_out
> deny ip any 192.168.0.0 0.0.255.255
> permit tcp host 192.168.0.1 any eq www
> deny tcp 192.168.0.0 0.0.0.255 any eq www
> permit ip host 83.83.83.83 any
> deny ip any any log
>
>Подскажите где не прав.... смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
если я правильно понял вашу структуру то должно быть как-то так ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www
deny ip any any log
- Cisco 1841 + Extended ACL + блокировка доступа в инет, den, 11:54 , 27-Ноя-08 (2)
>смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
>
>если я правильно понял вашу структуру то должно быть как-то так
>
>ip access-list extended acl_out
>permit tcp host 192.168.0.1 any eq www
>deny ip any any log АЦЛ вешается на внешний интерфейс:
interface fastEthernet0/0
ip address 83.83.83.83 xxx.xxx.xxx.xxx
ip access-group acl_out out Соответственно поэтому делаю так, кжется верным, но неработает
ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www - разрешаем только с проксюка
deny tcp 192.168.0.0 0.0.0.255 any eq www - запрешаем всю подсеть по 80 порту
permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
deny ip any any log Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, с сети нет.....
- Cisco 1841 + Extended ACL + блокировка доступа в инет, blank, 12:27 , 27-Ноя-08 (3)
>[оверквотинг удален]
>permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
>
>deny ip any any log
>
>Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
>interface Vlan1
>ip address 192.168.0.200 xx.xx.xx.xx
>
>пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется,
>с сети нет..... это полный конфиг? там никакого ната нет, а то нат отрабатывается первым до акцесса и соответственно адреса уже другие.
- Cisco 1841 + Extended ACL + блокировка доступа в инет, den, 12:28 , 27-Ноя-08 (4)
Разобрался, еслу кому пригодится вот что получилось:
вешаем АЦл на внутренний интерфейс на входящий трафик, вместо внешнего интерфейся на исходящий.interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx
ip access-group acl_Local_out in
ip access-list extended acl_Local_out
permit ip any 192.168.0.0 0.0.255.255
permit tcp host 192.168.0.1 any eq www
deny tcp 192.168.0.0 0.0.0.255 any eq www log
permit ip any any
Вроде работает :-)
|
Версия для распечатки
