forum.opennet.ru - "Cisco 1841 + Extended ACL + блокировка доступа в инет" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 1841 + Extended ACL + блокировка доступа в инет"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Сообщение от den (??) on 27-Ноя-08, 10:50
Ситуация следующая, использую Extended ACl для блокировки исходящего трафика. как можно запретить доступ к сайтам с подсети, за исключением прокси-сервера, т.е. если трафик на 80,443 порты, то пропускаем только ИП прокси-сервера, если другие Ип из подсети, доступ блокирум. 192.168.0.1 - прокси 192.168.0.0/24 - подсеть 83.83.83.83 - внешний ИП пробовал следующим образом: ip access-list extended acl_out deny ip any 192.168.0.0 0.0.255.255 permit tcp host 192.168.0.1 any eq www deny tcp 192.168.0.0 0.0.0.255 any eq www permit ip host 83.83.83.83 any deny ip any any log Подскажите где не прав....
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 1841 + Extended ACL + блокировка доступа в инет, blank, 10:56 , 27-Ноя-08, (1)

Cisco 1841 + Extended ACL + блокировка доступа в инет, den, 11:54 , 27-Ноя-08, (2)

Cisco 1841 + Extended ACL + блокировка доступа в инет, blank, 12:27 , 27-Ноя-08, (3)

Cisco 1841 + Extended ACL + блокировка доступа в инет, den, 12:28 , 27-Ноя-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 1841 + Extended ACL + блокировка доступа в инет"

Сообщение от blank (ok) on 27-Ноя-08, 10:56

>[оверквотинг удален]
>
>пробовал следующим образом:
>ip access-list extended acl_out
> deny   ip any 192.168.0.0 0.0.255.255
> permit tcp host 192.168.0.1 any eq www
> deny   tcp 192.168.0.0 0.0.0.255 any eq www
> permit ip host 83.83.83.83 any
> deny   ip any any log
>
>Подскажите где не прав....
смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
если я правильно понял вашу структуру то должно быть как-то так
ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www
deny   ip any any log

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 1841 + Extended ACL + блокировка доступа в инет"

Сообщение от den (??) on 27-Ноя-08, 11:54

>смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
>
>если я правильно понял вашу структуру то должно быть как-то так
>
>ip access-list extended acl_out
>permit tcp host 192.168.0.1 any eq www
>deny   ip any any log
АЦЛ вешается на внешний интерфейс:
interface fastEthernet0/0
ip address 83.83.83.83 xxx.xxx.xxx.xxx
ip access-group acl_out out
Соответственно поэтому делаю так, кжется верным, но неработает
ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www  - разрешаем только с проксюка
deny   tcp 192.168.0.0 0.0.0.255 any eq www  - запрешаем всю подсеть по 80 порту
permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
deny   ip any any log
Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx
пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, с сети нет.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 1841 + Extended ACL + блокировка доступа в инет"

Сообщение от blank (ok) on 27-Ноя-08, 12:27

>[оверквотинг удален]
>permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
>
>deny   ip any any log
>
>Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
>interface Vlan1
>ip address 192.168.0.200 xx.xx.xx.xx
>
>пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется,
>с сети нет.....
это полный конфиг? там никакого ната нет, а то нат отрабатывается первым до акцесса и соответственно адреса уже другие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 1841 + Extended ACL + блокировка доступа в инет"

Сообщение от den (??) on 27-Ноя-08, 12:28

Разобрался, еслу кому пригодится вот что получилось:
вешаем АЦл на внутренний интерфейс на входящий трафик, вместо внешнего интерфейся на исходящий.
interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx
ip access-group acl_Local_out in

ip access-list extended acl_Local_out
permit ip any 192.168.0.0 0.0.255.255
permit tcp host 192.168.0.1 any eq www
deny   tcp 192.168.0.0 0.0.0.255 any eq www log
permit ip any any

Вроде работает :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 1841 + Extended ACL + блокировка доступа в инет"
Сообщение от blank (ok) on 27-Ноя-08, 10:56
>[оверквотинг удален] > >пробовал следующим образом: >ip access-list extended acl_out > deny ip any 192.168.0.0 0.0.255.255 > permit tcp host 192.168.0.1 any eq www > deny tcp 192.168.0.0 0.0.0.255 any eq www > permit ip host 83.83.83.83 any > deny ip any any log > >Подскажите где не прав.... смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете. если я правильно понял вашу структуру то должно быть как-то так ip access-list extended acl_out permit tcp host 192.168.0.1 any eq www deny ip any any log
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Cisco 1841 + Extended ACL + блокировка доступа в инет"
	Сообщение от den (??) on 27-Ноя-08, 11:54
	>смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете. > >если я правильно понял вашу структуру то должно быть как-то так > >ip access-list extended acl_out >permit tcp host 192.168.0.1 any eq www >deny ip any any log АЦЛ вешается на внешний интерфейс: interface fastEthernet0/0 ip address 83.83.83.83 xxx.xxx.xxx.xxx ip access-group acl_out out Соответственно поэтому делаю так, кжется верным, но неработает ip access-list extended acl_out permit tcp host 192.168.0.1 any eq www - разрешаем только с проксюка deny tcp 192.168.0.0 0.0.0.255 any eq www - запрешаем всю подсеть по 80 порту permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде deny ip any any log Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки) interface Vlan1 ip address 192.168.0.200 xx.xx.xx.xx пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, с сети нет.....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco 1841 + Extended ACL + блокировка доступа в инет"
	Сообщение от blank (ok) on 27-Ноя-08, 12:27
	>[оверквотинг удален] >permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде > >deny ip any any log > >Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки) >interface Vlan1 >ip address 192.168.0.200 xx.xx.xx.xx > >пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, >с сети нет..... это полный конфиг? там никакого ната нет, а то нат отрабатывается первым до акцесса и соответственно адреса уже другие.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco 1841 + Extended ACL + блокировка доступа в инет"
	Сообщение от den (??) on 27-Ноя-08, 12:28
	Разобрался, еслу кому пригодится вот что получилось: вешаем АЦл на внутренний интерфейс на входящий трафик, вместо внешнего интерфейся на исходящий. interface Vlan1 ip address 192.168.0.200 xx.xx.xx.xx ip access-group acl_Local_out in ip access-list extended acl_Local_out permit ip any 192.168.0.0 0.0.255.255 permit tcp host 192.168.0.1 any eq www deny tcp 192.168.0.0 0.0.0.255 any eq www log permit ip any any Вроде работает :-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]