Ограничение доступа к интернет ресурсам на Cisco

@VevS · Регистрация: 16.08.2013

Author24 — интернет-сервис помощи студентам

Добрый день. Подскажите как закрыть доступ например к сайтам вк.ком и одноклассники через Cisco ? желательно подробные команды ))) к нам проверка приезжает а у нас тут все радуются жизни )) Спасибо.

Jabbson · 20.08.2013, 11:38

Локальная фильрация URL на Cisco

@VevS · 21.08.2013, 11:45 **[ТС]**

Я не смог разобраться с этим. Через ACL попытался ограничить доступ. Но когда я включил ACL в котором был запрешён всего один ip у меня отвалился интернет. остальные методы не возымели своей эффективности. Видимо написаны они для людей которые разбираются уже достаточно хорошо.

Jabbson · 21.08.2013, 14:14

Сообщение от VevS

Я не смог разобраться с этим. Через ACL попытался ограничить доступ. Но когда я включил ACL в котором был запрешён всего один ip у меня отвалился интернет.

а после запрещения всего одного ip вы все остальное разрешили?
потому как, как Вы знаете, в конце каждого acl есть deny ip any any

@VevS · 21.08.2013, 14:39 **[ТС]**

Сообщение от Jabbson

а после запрещения всего одного ip вы все остальное разрешили?
потому как, как Вы знаете, в конце каждого acl есть deny ip any any

вот теперь я это знаю )) а можно ли не создавать отдельный Acl а просто добавить запрещающую строку в существующий?

Jabbson · 22.08.2013, 00:49

да, можно.

пример

malin#conf t
Enter configuration commands, one per line. End with CNTL/Z.
malin(config)#ip access-list extended TEST_ACL
malin(config-ext-nacl)#permit ip host 1.2.3.4 10.10.10.0 0.0.0.255
malin(config-ext-nacl)#permit tcp host 2.3.4.5 host 3.4.5.6 eq 22
malin(config-ext-nacl)#permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log
malin(config-ext-nacl)#exit
malin(config)#exit

malin#show ip access-list TEST_ACL
Extended IP access list TEST_ACL
10 permit ip host 1.2.3.4 10.10.10.0 0.0.0.255
20 permit tcp host 2.3.4.5 host 3.4.5.6 eq 22
30 permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log
malin#

malin#conf t
Enter configuration commands, one per line. End with CNTL/Z.
malin(config)#ip access-list extended TEST_ACL
malin(config-ext-nacl)#15 permit gre any any
malin(config-ext-nacl)#exit
malin(config)#exit

malin#show ip access-list TEST_ACL
Extended IP access list TEST_ACL
10 permit ip host 1.2.3.4 10.10.10.0 0.0.0.255
15 permit gre any any
20 permit tcp host 2.3.4.5 host 3.4.5.6 eq 22
30 permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log

@rustafa93 · 27.08.2013, 00:03

блочишь два айпишника
87.240.143.244
87.240.131.120

access list 101 deny ip any host 87.240.143.244
access list 101 deny ip any host 87.240.131.120
access list 101 permint ip any any
не забудь привязать к интерфейсу
int fa0/0
ip access-group 101 (кажется так, юзани знак вопроса)

можешь написать в конце и протокол www (eq 80).

Добавлено через 12 минут

Сообщение от VevS

вот теперь я это знаю )) а можно ли не создавать отдельный Acl а просто добавить запрещающую строку в существующий?

да, дени айпи ани ани это неявная инструкция, добавляется автоматом в конец. просто разрешаешь в этом же листе permint ip any any и в конце все равно будет добавлена дени айпи ани ани(в шов рун не отображается, если добавлена автоматом, если добавляешь сам - появляется). работает эта штука по иерархии, т.е. первая инструкция соответствующая будет применена, т.е. получается, что дени айпи ани ани никогда не будет совпадать.

@VevS · 27.08.2013, 15:09 **[ТС]**

Спасибо всем за помощь =)

Jabbson · 27.08.2013, 16:47

Сообщение от VevS

Спасибо всем за помощь =)

всегда пожалуйста.

@VevS 1 / 1 / 0 Регистрация: 16.08.2013 Сообщений: 38
		1
	Ограничение доступа к интернет ресурсам на Cisco 20.08.2013, 09:02. Показов 9319. Ответов 8 Метки нет (Все метки) Добрый день. Подскажите как закрыть доступ например к сайтам вк.ком и одноклассники через Cisco ? желательно подробные команды ))) к нам проверка приезжает а у нас тут все радуются жизни )) Спасибо. 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	20.08.2013, 11:38	2
	Локальная фильрация URL на Cisco 0

@VevS 1 / 1 / 0 Регистрация: 16.08.2013 Сообщений: 38
	21.08.2013, 11:45 [ТС]	3
	Я не смог разобраться с этим. Через ACL попытался ограничить доступ. Но когда я включил ACL в котором был запрешён всего один ip у меня отвалился интернет. остальные методы не возымели своей эффективности. Видимо написаны они для людей которые разбираются уже достаточно хорошо. 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	21.08.2013, 14:14	4
	Сообщение от VevS Я не смог разобраться с этим. Через ACL попытался ограничить доступ. Но когда я включил ACL в котором был запрешён всего один ip у меня отвалился интернет. а после запрещения всего одного ip вы все остальное разрешили? потому как, как Вы знаете, в конце каждого acl есть deny ip any any 0

@VevS 1 / 1 / 0 Регистрация: 16.08.2013 Сообщений: 38
	21.08.2013, 14:39 [ТС]	5
	Сообщение от Jabbson а после запрещения всего одного ip вы все остальное разрешили? потому как, как Вы знаете, в конце каждого acl есть deny ip any any вот теперь я это знаю )) а можно ли не создавать отдельный Acl а просто добавить запрещающую строку в существующий? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	22.08.2013, 00:49	6
	да, можно. пример malin#conf t Enter configuration commands, one per line. End with CNTL/Z. malin(config)#ip access-list extended TEST_ACL malin(config-ext-nacl)#permit ip host 1.2.3.4 10.10.10.0 0.0.0.255 malin(config-ext-nacl)#permit tcp host 2.3.4.5 host 3.4.5.6 eq 22 malin(config-ext-nacl)#permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log malin(config-ext-nacl)#exit malin(config)#exit malin#show ip access-list TEST_ACL Extended IP access list TEST_ACL 10 permit ip host 1.2.3.4 10.10.10.0 0.0.0.255 20 permit tcp host 2.3.4.5 host 3.4.5.6 eq 22 30 permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log malin# malin#conf t Enter configuration commands, one per line. End with CNTL/Z. malin(config)#ip access-list extended TEST_ACL malin(config-ext-nacl)#15 permit gre any any malin(config-ext-nacl)#exit malin(config)#exit malin#show ip access-list TEST_ACL Extended IP access list TEST_ACL 10 permit ip host 1.2.3.4 10.10.10.0 0.0.0.255 15 permit gre any any 20 permit tcp host 2.3.4.5 host 3.4.5.6 eq 22 30 permit udp 3.0.0.0 0.255.255.255 4.0.0.0 0.255.255.255 log 1

@rustafa93 2 / 2 / 0 Регистрация: 16.08.2013 Сообщений: 9
	27.08.2013, 00:03	7
	блочишь два айпишника 87.240.143.244 87.240.131.120 access list 101 deny ip any host 87.240.143.244 access list 101 deny ip any host 87.240.131.120 access list 101 permint ip any any не забудь привязать к интерфейсу int fa0/0 ip access-group 101 (кажется так, юзани знак вопроса) можешь написать в конце и протокол www (eq 80). Добавлено через 12 минут Сообщение от VevS вот теперь я это знаю )) а можно ли не создавать отдельный Acl а просто добавить запрещающую строку в существующий? да, дени айпи ани ани это неявная инструкция, добавляется автоматом в конец. просто разрешаешь в этом же листе permint ip any any и в конце все равно будет добавлена дени айпи ани ани(в шов рун не отображается, если добавлена автоматом, если добавляешь сам - появляется). работает эта штука по иерархии, т.е. первая инструкция соответствующая будет применена, т.е. получается, что дени айпи ани ани никогда не будет совпадать. 0

@VevS 1 / 1 / 0 Регистрация: 16.08.2013 Сообщений: 38
	27.08.2013, 15:09 [ТС]	8
	Спасибо всем за помощь =) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	27.08.2013, 16:47	9
	Сообщение от VevS Спасибо всем за помощь =) всегда пожалуйста. 0

Опции темы