forum.opennet.ru - "не получается запретить доступ в интернет конкретному хосту" (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"не получается запретить доступ в интернет конкретному хосту"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"не получается запретить доступ в интернет конкретному хосту"	+/–
Сообщение от Vladimir (??) on 21-Июл-11, 11:34
Доброго времени суток! Никак не получается запретить доступ в интернет определенным хостам. Имеем csco asa 5505, настроил 2 интерфейса: outside xx.xx.xx.xx inside 192.168.2.1 Конфиг пустой никаких access-list, access-group нет, но ICMP т.е пинг с любой машины не проходил, а в интернет ходят все у кого прописан DNS и geatway на csco. Пишу правило access-list 1 extended permit icmp any any, вешаю его на access-group 1 in interface outside и пинг начинает работать с любой машины. Еду дальше пытаюсь запретить хосту доступ в интернет пишу access-list 2 extended deny tcp host 192.168.2.10 any и добавляю его в группу 2 access-group 2 out interface outside, реузльтат инет пропадает у всех. Пробовал сперва добавить правило permit any any толку никакого полый игнор. Так же пробовал повесить запрет на доступ из интерфейса inside путем внесения access-list 2 extended deny tcp host 192.168.2.10 interface inside и access-group 2 out interface inside, снова либо у всех пропадает либо у всех все есть. Что за чертов фаервол у которого все разрешено а на запрещения с inside интерфейсом на outside он либо пропускает deny хосты либо закрывает доступ для всех. Объясните популярно в чем загвоздка, с аппаратами csco я не знаком, теории прочитал много а толку от нее мало там все образно описано и то что написано мне и так ясно. Если есть прям конкретная ссылка на то как это делается то можете отправить но я ее не нашел ни на вашем форуме ни в других местах. Опять же желательно конкретно сказать по конректной причине что мол надо написать 10 строк таких вот. Спасибо за понимание.
Ответить \| Правка \| Cообщить модератору

Оглавление

не получается запретить доступ в интернет конкретному хосту, Николай_kv, 12:01 , 21-Июл-11, (1)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 12:59 , 21-Июл-11, (2)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:04 , 21-Июл-11, (3)

не получается запретить доступ в интернет конкретному хосту, OvDP, 13:17 , 21-Июл-11, (4)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:29 , 21-Июл-11, (5)

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:42 , 21-Июл-11, (7)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:43 , 21-Июл-11, (9)

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:46 , 21-Июл-11, (10)

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:39 , 21-Июл-11, (6)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:42 , 21-Июл-11, (8)

не получается запретить доступ в интернет конкретному хосту, OvDP, 13:50 , 21-Июл-11, (11)
не получается запретить доступ в интернет конкретному хосту, Vladimir, 13:53 , 21-Июл-11, (12)

не получается запретить доступ в интернет конкретному хосту, OvDP, 14:15 , 21-Июл-11, (14)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 14:31 , 21-Июл-11, (15)

не получается запретить доступ в интернет конкретному хосту, OvDP, 14:52 , 21-Июл-11, (16)
не получается запретить доступ в интернет конкретному хосту, slayer, 17:11 , 21-Июл-11, (19)

не получается запретить доступ в интернет конкретному хосту, Aleks305, 13:55 , 21-Июл-11, (13)

не получается запретить доступ в интернет конкретному хосту, Николай_kv, 15:07 , 21-Июл-11, (17)

не получается запретить доступ в интернет конкретному хосту, Валентин, 16:18 , 21-Июл-11, (18)

не получается запретить доступ в интернет конкретному хосту, Vladimir, 17:14 , 21-Июл-11, (20)

Сообщения по теме [Сортировка по времени | RSS]

1. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Николай_kv on 21-Июл-11, 12:01

Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, направление in.
Если запутались в направлениях делайте так - представьте себя внутри коробки все что в неё затекает это in все что вытекает out. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 12:59

> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
> направление in.
> Если запутались в направлениях делайте так - представьте себя внутри коробки все
> что в неё затекает это in все что вытекает out. :)
Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
access-group 2 in interface inside
И инет пропадает у всех.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 13:04

>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.
Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside тоже закрывает доступ всем хостам.
Еще такая ремарка все делаю в running конфиге и все применяется сразу же, может надо записывать в startup и перегружать csco? Не перегружаю потому что люди работают.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от OvDP (ok) on 21-Июл-11, 13:17

>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.
может стоить начать с демонстрации конфига? перезагружать не нужно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 13:29

>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> может стоить начать с демонстрации конфига? перезагружать не нужно.
Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp на на простую флешку (разъемы на asa 5505 есть а mount чет не работает в стандартном виде)
Из возможных интересующих строк вот:
!interface Ethernet0/0
switchport access vlan 2
!
access-list 1 extended permit icmp any any
logging asd informational
mtu inside 1500
mtu outside 1500
icmp unreachable reate-limit 1 burst-size 1
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
crypto ipsec security-association lifetime seconds 28800
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
вот рактически весь конфиг

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Aleks305 (ok) on 21-Июл-11, 13:42

>[оверквотинг удален]
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг
а policy-map и service-policy где?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 13:43

>[оверквотинг удален]
>> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
>> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
>> crypto ipsec security-association lifetime seconds 28800
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> вот рактически весь конфиг
> а policy-map и service-policy где?
Нет там таких строк и близко

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Aleks305 (ok) on 21-Июл-11, 13:46

>[оверквотинг удален]
>>>> access-group 2 in interface inside
>>>> И инет пропадает у всех.
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> может стоить начать с демонстрации конфига? перезагружать не нужно.
> Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp
> на на простую флешку (разъемы на asa 5505 есть а mount
copy tftp ....
>[оверквотинг удален]
> switchport access vlan 2
> !
> access-list 1 extended permit icmp any any
> logging asd informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable reate-limit 1 burst-size 1
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0
зачем эта строчка?
> access-group 1 in interface outside
> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1
> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?)
не встречал раньше в дефолтном конфиге
> crypto ipsec security-association lifetime seconds 28800
> dhcpd auto_config outside
это зачем?
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> вот рактически весь конфиг

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Aleks305 (ok) on 21-Июл-11, 13:39

>[оверквотинг удален]
>>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>>> что в неё затекает это in все что вытекает out. :)
>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>> access-group 2 in interface inside
>> И инет пропадает у всех.
> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
> тоже закрывает доступ всем хостам.
> Еще такая ремарка все делаю в running конфиге и все применяется сразу
> же, может надо записывать в startup и перегружать csco? Не перегружаю
> потому что люди работают.
нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 13:42

>[оверквотинг удален]
>>>> что в неё затекает это in все что вытекает out. :)
>>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
>>> access-group 2 in interface inside
>>> И инет пропадает у всех.
>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>> тоже закрывает доступ всем хостам.
>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>> потому что люди работают.
> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
ну я привел выше практически весь, ну есть там еще строки типа timeout штук 5, multicast-routing, про ssh и telnet но даже мне очевидно что это к делу отношения не имеет (скажите как флешку примонтировать я скину весь)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от OvDP (ok) on 21-Июл-11, 13:50

>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)
уважаемый топикстартер, выложите весь конфиг, если желаете решить свою проблему общими усилиями.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 13:53

Кароче вот весь конфиг (я же просил mount флешки а не tftp)
ASA Version 8.2(1)
!
hostname xxx
enable password *** encrypted
passwd *** encrypted
multicast-routing
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
access-list 1 extended permit icmp any any
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.2.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group 1 in interface outside
route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
!
prompt hostname context
Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
: end
Строка access-list 1 extended permit icmp any any и access-group 1 in interface outside для включения пинга, потому что он не работал изначально без этих строк с хостов а мне нужен для теста.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от OvDP (ok) on 21-Июл-11, 14:15

попробуйте так
>[оверквотинг удален]
> interface Ethernet0/4
> !
> interface Ethernet0/5
> !
> interface Ethernet0/6
> !
> interface Ethernet0/7
> !
> ftp mode passive
> access-list 1 extended permit icmp any any
no access-list 1 extended permit icmp any any
!запрещаем хосту 192.168.2.222 куда угодно
access-list inside_access_in extended deny ip host 192.168.2.222 any
!разрешаем остальным
access-list inside_access_in extended permit ip any any
>[оверквотинг удален]
> logging asdm informational
> mtu inside 1500
> mtu outside 1500
> icmp unreachable rate-limit 1 burst-size 1
> no asdm history enable
> arp timeout 14400
> global (outside) 1 interface
> nat (inside) 1 192.168.2.0 255.255.255.0
> nat (inside) 1 0.0.0.0 0.0.0.0
> access-group 1 in interface outside
no access-group 1 in interface outside
access-group inside_access_in in interface inside
>[оверквотинг удален]
> dhcpd auto_config outside
> !
> threat-detection basic-threat
> threat-detection statistics access-list
> no threat-detection statistics tcp-intercept
> !
> !
> prompt hostname context
> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
> : end

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 14:31

>[оверквотинг удален]
>> dhcpd auto_config outside
>> !
>> threat-detection basic-threat
>> threat-detection statistics access-list
>> no threat-detection statistics tcp-intercept
>> !
>> !
>> prompt hostname context
>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>> : end
Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает нигде. Добавление туда же access-list inside_access_in extended permit icmp any any не дало эффекта. (и все таки еще на этой сраной штуке есть usb, как флешку то примонтировать на вскидку никто не знает?)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от OvDP (ok) on 21-Июл-11, 14:52

>[оверквотинг удален]
>>> no threat-detection statistics tcp-intercept
>>> !
>>> !
>>> prompt hostname context
>>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67
>>> : end
> Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает
> нигде. Добавление туда же access-list inside_access_in extended permit icmp any any
> не дало эффекта. (и все таки еще на этой сраной штуке
> есть usb, как флешку то примонтировать на вскидку никто не знает?)
class-map inspection_default
  match default-inspection-traffic
policy-map global_policy
  class inspection_default
    inspect dns maximum-length 512
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect smtp
    inspect sip
    inspect icmp
service-policy global_policy global

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от slayer (??) on 21-Июл-11, 17:11

> есть usb, как флешку то примонтировать на вскидку никто не знает?)
Не работает там порт. Бестолку втыкать фшэки.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Aleks305 (ok) on 21-Июл-11, 13:55

>[оверквотинг удален]
>>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside
>>> тоже закрывает доступ всем хостам.
>>> Еще такая ремарка все делаю в running конфиге и все применяется сразу
>>> же, может надо записывать в startup и перегружать csco? Не перегружаю
>>> потому что люди работают.
>> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
> ну я привел выше практически весь, ну есть там еще строки типа
> timeout штук 5, multicast-routing, про ssh и telnet но даже мне
> очевидно что это к делу отношения не имеет (скажите как флешку
> примонтировать я скину весь)
через putty подключаетесь?включите логирование  и будет вам конфиг

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Николай_kv on 21-Июл-11, 15:07

вот это тема за час разрослась :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Валентин (??) on 21-Июл-11, 16:18

>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс,
>> направление in.
>> Если запутались в направлениях делайте так - представьте себя внутри коробки все
>> что в неё затекает это in все что вытекает out. :)
> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any
> access-group 2 in interface inside
> И инет пропадает у всех.
access-list 2 extended deny tcp host 192.168.2.10 any
access-list 2 extended permit ip any any
access-group 2 in interface inside
При желании второе правило можно более точно прописать, например:
access-list 2 extended permit ip 192.168.2.0 255.255.255.0 any

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "не получается запретить доступ в интернет конкретному хосту" +/–

Сообщение от Vladimir (??) on 21-Июл-11, 17:14

Всем спасибо за участие, в принцыпе понял что из за моего самописного правила про icmp отключалось почему то все (только после добавления любого другого правила) странное поведение конечно.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "не получается запретить доступ в интернет конкретному хосту"	+/–
Сообщение от Николай_kv on 21-Июл-11, 12:01
Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, направление in. Если запутались в направлениях делайте так - представьте себя внутри коробки все что в неё затекает это in все что вытекает out. :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 12:59
	> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, > направление in. > Если запутались в направлениях делайте так - представьте себя внутри коробки все > что в неё затекает это in все что вытекает out. :) Вешаю access-list 2 extended deny tcp host 192.168.2.10 any access-group 2 in interface inside И инет пропадает у всех.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 13:04
	>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, >> направление in. >> Если запутались в направлениях делайте так - представьте себя внутри коробки все >> что в неё затекает это in все что вытекает out. :) > Вешаю access-list 2 extended deny tcp host 192.168.2.10 any > access-group 2 in interface inside > И инет пропадает у всех. Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside тоже закрывает доступ всем хостам. Еще такая ремарка все делаю в running конфиге и все применяется сразу же, может надо записывать в startup и перегружать csco? Не перегружаю потому что люди работают.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от OvDP (ok) on 21-Июл-11, 13:17
	>[оверквотинг удален] >>> Если запутались в направлениях делайте так - представьте себя внутри коробки все >>> что в неё затекает это in все что вытекает out. :) >> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any >> access-group 2 in interface inside >> И инет пропадает у всех. > Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside > тоже закрывает доступ всем хостам. > Еще такая ремарка все делаю в running конфиге и все применяется сразу > же, может надо записывать в startup и перегружать csco? Не перегружаю > потому что люди работают. может стоить начать с демонстрации конфига? перезагружать не нужно.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 13:29
	>[оверквотинг удален] >>>> что в неё затекает это in все что вытекает out. :) >>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any >>> access-group 2 in interface inside >>> И инет пропадает у всех. >> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside >> тоже закрывает доступ всем хостам. >> Еще такая ремарка все делаю в running конфиге и все применяется сразу >> же, может надо записывать в startup и перегружать csco? Не перегружаю >> потому что люди работают. > может стоить начать с демонстрации конфига? перезагружать не нужно. Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp на на простую флешку (разъемы на asa 5505 есть а mount чет не работает в стандартном виде) Из возможных интересующих строк вот: !interface Ethernet0/0 switchport access vlan 2 ! access-list 1 extended permit icmp any any logging asd informational mtu inside 1500 mtu outside 1500 icmp unreachable reate-limit 1 burst-size 1 global (outside) 1 interface nat (inside) 1 192.168.2.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 access-group 1 in interface outside route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1 dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?) crypto ipsec security-association lifetime seconds 28800 dhcpd auto_config outside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept вот рактически весь конфиг
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Aleks305 (ok) on 21-Июл-11, 13:42
	>[оверквотинг удален] > access-group 1 in interface outside > route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1 > dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?) > crypto ipsec security-association lifetime seconds 28800 > dhcpd auto_config outside > ! > threat-detection basic-threat > threat-detection statistics access-list > no threat-detection statistics tcp-intercept > вот рактически весь конфиг а policy-map и service-policy где?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 13:43
	>[оверквотинг удален] >> route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1 >> dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?) >> crypto ipsec security-association lifetime seconds 28800 >> dhcpd auto_config outside >> ! >> threat-detection basic-threat >> threat-detection statistics access-list >> no threat-detection statistics tcp-intercept >> вот рактически весь конфиг > а policy-map и service-policy где? Нет там таких строк и близко
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Aleks305 (ok) on 21-Июл-11, 13:46
	>[оверквотинг удален] >>>> access-group 2 in interface inside >>>> И инет пропадает у всех. >>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside >>> тоже закрывает доступ всем хостам. >>> Еще такая ремарка все делаю в running конфиге и все применяется сразу >>> же, может надо записывать в startup и перегружать csco? Не перегружаю >>> потому что люди работают. >> может стоить начать с демонстрации конфига? перезагружать не нужно. > Тогда мини вопрос как с этой беды скинуть конфиг не через tftp,ftp > на на простую флешку (разъемы на asa 5505 есть а mount copy tftp .... >[оверквотинг удален] > switchport access vlan 2 > ! > access-list 1 extended permit icmp any any > logging asd informational > mtu inside 1500 > mtu outside 1500 > icmp unreachable reate-limit 1 burst-size 1 > global (outside) 1 interface > nat (inside) 1 192.168.2.0 255.255.255.0 > nat (inside) 1 0.0.0.0 0.0.0.0 зачем эта строчка? > access-group 1 in interface outside > route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx 1 > dynamic-access-policy-record DfltAccessPolicy (мож дело в ней?) не встречал раньше в дефолтном конфиге > crypto ipsec security-association lifetime seconds 28800 > dhcpd auto_config outside это зачем? > ! > threat-detection basic-threat > threat-detection statistics access-list > no threat-detection statistics tcp-intercept > вот рактически весь конфиг
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	6. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Aleks305 (ok) on 21-Июл-11, 13:39
	>[оверквотинг удален] >>> Если запутались в направлениях делайте так - представьте себя внутри коробки все >>> что в неё затекает это in все что вытекает out. :) >> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any >> access-group 2 in interface inside >> И инет пропадает у всех. > Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside > тоже закрывает доступ всем хостам. > Еще такая ремарка все делаю в running конфиге и все применяется сразу > же, может надо записывать в startup и перегружать csco? Не перегружаю > потому что люди работают. нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	8. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 13:42
	>[оверквотинг удален] >>>> что в неё затекает это in все что вытекает out. :) >>> Вешаю access-list 2 extended deny tcp host 192.168.2.10 any >>> access-group 2 in interface inside >>> И инет пропадает у всех. >> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside >> тоже закрывает доступ всем хостам. >> Еще такая ремарка все делаю в running конфиге и все применяется сразу >> же, может надо записывать в startup и перегружать csco? Не перегружаю >> потому что люди работают. > нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь ну я привел выше практически весь, ну есть там еще строки типа timeout штук 5, multicast-routing, про ssh и telnet но даже мне очевидно что это к делу отношения не имеет (скажите как флешку примонтировать я скину весь)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от OvDP (ok) on 21-Июл-11, 13:50
	>[оверквотинг удален] >>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside >>> тоже закрывает доступ всем хостам. >>> Еще такая ремарка все делаю в running конфиге и все применяется сразу >>> же, может надо записывать в startup и перегружать csco? Не перегружаю >>> потому что люди работают. >> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь > ну я привел выше практически весь, ну есть там еще строки типа > timeout штук 5, multicast-routing, про ssh и telnet но даже мне > очевидно что это к делу отношения не имеет (скажите как флешку > примонтировать я скину весь) уважаемый топикстартер, выложите весь конфиг, если желаете решить свою проблему общими усилиями.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 13:53
	Кароче вот весь конфиг (я же просил mount флешки а не tftp) ASA Version 8.2(1) ! hostname xxx enable password * encrypted passwd * encrypted multicast-routing names ! interface Vlan1 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address xxx.xxx.xxx.xxx 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive access-list 1 extended permit icmp any any pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 192.168.2.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 access-group 1 in interface outside route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 192.168.2.0 255.255.255.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! ! prompt hostname context Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 : end Строка access-list 1 extended permit icmp any any и access-group 1 in interface outside для включения пинга, потому что он не работал изначально без этих строк с хостов а мне нужен для теста.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от OvDP (ok) on 21-Июл-11, 14:15
	попробуйте так >[оверквотинг удален] > interface Ethernet0/4 > ! > interface Ethernet0/5 > ! > interface Ethernet0/6 > ! > interface Ethernet0/7 > ! > ftp mode passive > access-list 1 extended permit icmp any any no access-list 1 extended permit icmp any any !запрещаем хосту 192.168.2.222 куда угодно access-list inside_access_in extended deny ip host 192.168.2.222 any !разрешаем остальным access-list inside_access_in extended permit ip any any >[оверквотинг удален] > logging asdm informational > mtu inside 1500 > mtu outside 1500 > icmp unreachable rate-limit 1 burst-size 1 > no asdm history enable > arp timeout 14400 > global (outside) 1 interface > nat (inside) 1 192.168.2.0 255.255.255.0 > nat (inside) 1 0.0.0.0 0.0.0.0 > access-group 1 in interface outside no access-group 1 in interface outside access-group inside_access_in in interface inside >[оверквотинг удален] > dhcpd auto_config outside > ! > threat-detection basic-threat > threat-detection statistics access-list > no threat-detection statistics tcp-intercept > ! > ! > prompt hostname context > Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 > : end
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 14:31
	>[оверквотинг удален] >> dhcpd auto_config outside >> ! >> threat-detection basic-threat >> threat-detection statistics access-list >> no threat-detection statistics tcp-intercept >> ! >> ! >> prompt hostname context >> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 >> : end Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает нигде. Добавление туда же access-list inside_access_in extended permit icmp any any не дало эффекта. (и все таки еще на этой сраной штуке есть usb, как флешку то примонтировать на вскидку никто не знает?)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от OvDP (ok) on 21-Июл-11, 14:52
	>[оверквотинг удален] >>> no threat-detection statistics tcp-intercept >>> ! >>> ! >>> prompt hostname context >>> Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 >>> : end > Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает > нигде. Добавление туда же access-list inside_access_in extended permit icmp any any > не дало эффекта. (и все таки еще на этой сраной штуке > есть usb, как флешку то примонтировать на вскидку никто не знает?) class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect smtp inspect sip inspect icmp service-policy global_policy global
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	19. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от slayer (??) on 21-Июл-11, 17:11
	> есть usb, как флешку то примонтировать на вскидку никто не знает?) Не работает там порт. Бестолку втыкать фшэки.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	13. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Aleks305 (ok) on 21-Июл-11, 13:55
	>[оверквотинг удален] >>> Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside >>> тоже закрывает доступ всем хостам. >>> Еще такая ремарка все делаю в running конфиге и все применяется сразу >>> же, может надо записывать в startup и перегружать csco? Не перегружаю >>> потому что люди работают. >> нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь > ну я привел выше практически весь, ну есть там еще строки типа > timeout штук 5, multicast-routing, про ssh и telnet но даже мне > очевидно что это к делу отношения не имеет (скажите как флешку > примонтировать я скину весь) через putty подключаетесь?включите логирование и будет вам конфиг
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	17. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Николай_kv on 21-Июл-11, 15:07
	вот это тема за час разрослась :)
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Валентин (??) on 21-Июл-11, 16:18
	>> Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, >> направление in. >> Если запутались в направлениях делайте так - представьте себя внутри коробки все >> что в неё затекает это in все что вытекает out. :) > Вешаю access-list 2 extended deny tcp host 192.168.2.10 any > access-group 2 in interface inside > И инет пропадает у всех. access-list 2 extended deny tcp host 192.168.2.10 any access-list 2 extended permit ip any any access-group 2 in interface inside При желании второе правило можно более точно прописать, например: access-list 2 extended permit ip 192.168.2.0 255.255.255.0 any
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	20. "не получается запретить доступ в интернет конкретному хосту"	+/–
	Сообщение от Vladimir (??) on 21-Июл-11, 17:14
	Всем спасибо за участие, в принцыпе понял что из за моего самописного правила про icmp отключалось почему то все (только после добавления любого другого правила) странное поведение конечно.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору