forum.opennet.ru - "Ограничение доступа" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Ограничение доступа"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Ограничение доступа"	+/–
Сообщение от Konst_t (ok) on 16-Авг-05, 13:09
Привет всем! Вопрос, может не с месту но все же: Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1 outside. Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru В настройках локальной машины "Я" указывается шлюз E0 Прокси сервер Proxy. В настройках маршрутизатора access-list 101 permit ip host Я host Proxy Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет. Почучается, что мне никак не ограничить интернет, что бы был доступ на только на mail.ru в существующей схеме?
Ответить \| Правка \| Cообщить модератору

Оглавление

Ограничение доступа, Scrappy, 13:15 , 16-Авг-05, (1)

Ограничение доступа, Scrappy, 13:18 , 16-Авг-05, (2)

Ограничение доступа, Konst_t, 13:25 , 16-Авг-05, (3)

Ограничение доступа, Scrappy, 13:32 , 16-Авг-05, (4)

Ограничение доступа, Konst_t, 13:44 , 16-Авг-05, (5)

Ограничение доступа, Сайко, 14:38 , 16-Авг-05, (6)

Ограничение доступа, Sergey, 03:16 , 24-Сен-12, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Ограничение доступа" +/–

Сообщение от Scrappy (??) on 16-Авг-05, 13:15

>Привет всем!
>Вопрос, может не с месту но все же:
>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>outside.
>
> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>
> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>
>В настройках локальной машины "Я" указывается шлюз E0
>Прокси сервер Proxy.
>
>В настройках маршрутизатора
>access-list 101 permit ip host Я host Proxy
>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>
>
>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>только на mail.ru в существующей схеме?
Попробуй на Proxy запретить всё кроме mail.ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ограничение доступа" +/–

Сообщение от Scrappy (??) on 16-Авг-05, 13:18

>>Привет всем!
>>Вопрос, может не с месту но все же:
>>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>>outside.
>>
>> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>>
>> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>>
>>В настройках локальной машины "Я" указывается шлюз E0
>>Прокси сервер Proxy.
>>
>>В настройках маршрутизатора
>>access-list 101 permit ip host Я host Proxy
>>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>>
>>
>>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>>только на mail.ru в существующей схеме?
>
>Попробуй на Proxy запретить всё кроме mail.ru
В догонку, ещё как вариант можно попробывать отловить все ip адреса серверов mail.ru и разрешить в access-list и any deny.
В принципе это что с ходу в голову приходит

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ограничение доступа" +/–

Сообщение от Konst_t (ok) on 16-Авг-05, 13:25

В чем и фишка, я могу только маршрутизатором управлять :-)
Когдя я соединяюсть с прокси он и является дверью в инет :-)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ограничение доступа" +/–

Сообщение от Scrappy (??) on 16-Авг-05, 13:32

>
> В чем и фишка, я могу только маршрутизатором управлять :-)
> Когдя я соединяюсть с прокси он и является дверью в инет
>:-)
Ну тогда пробуй второй вариант
ping mail.ru много раз, а потом в access-list ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Ограничение доступа" +/–

Сообщение от Konst_t (ok) on 16-Авг-05, 13:44

>Ну тогда пробуй второй вариант
>ping mail.ru много раз, а потом в access-list ;)
я могу забанить в acces-list весь интернет, но если у меня permit на Proxy, то толку никакого. В чем и вопрос, как хитро вывернуться? Либо в своей сетке ставить свой прокси дополнительно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Ограничение доступа" +/–

Сообщение от Сайко on 16-Авг-05, 14:38

Ну у mail.ru всего совамовские 2 сети класса C:
inetnum:      194.67.23.0 - 194.67.23.255
netname:      MAILRU-NET
descr:        Mail.ru
descr:        Pushechnaya st., 2/6
descr:        103012, Moscow
country:      RU
tech-c:       VG659-RIPE
admin-c:      VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered
person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered
=======================================================
inetnum:      194.67.57.0 - 194.67.57.255
netname:      MAILRU-NET2
descr:        Mail.ru
descr:        Moscow, Russia
country:      RU
admin-c:      VG659-RIPE
tech-c:       VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered
person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered

Соответственно вот такой ACL на внутреннем интерфейсе E0:
access-list 100 remark allow only to mail.ru
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.23.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.57.0 0.0.0.255
access-list 100 deny   ip any any
interface E0
ip access-group 100 in
Можно и дальше извращяться - на вход внешнего интерфейса:
access-list 101 remark allow only from mail.ru
access-list 101 permit ip 194.67.23.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 194.67.57.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip any any
interface E1
ip access-group 101 in
Единственное замечание - необходимо проверить работу этого ACL вместе с NAT'ом!
Также можно пойти еще дальше - разрешать только доступ к http и.т.д.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Ограничение доступа" +/–

Сообщение от Sergey (??) on 24-Сен-12, 03:16

>[оверквотинг удален]
> outside.
>  Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>  Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
> В настройках локальной машины "Я" указывается шлюз E0
> Прокси сервер Proxy.
> В настройках маршрутизатора
> access-list 101 permit ip host Я host Proxy
> Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
> Почучается, что мне никак не ограничить интернет, что бы был доступ на
> только на mail.ru в существующей схеме?
Довольно просто! HTTPS - если Вы доверяете издателю сертификата Twhafte, mail.ru (извините, но в точном имени издателя могу и ошибаться, mail.ru его напомнит по первому требованию, на весь остальной контент - ограничение доступа (не забудьте ввести контрольное слово)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Ограничение доступа"	+/–
Сообщение от Scrappy (??) on 16-Авг-05, 13:15
>Привет всем! >Вопрос, может не с месту но все же: >Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1 >outside. > > Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru > > Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru > >В настройках локальной машины "Я" указывается шлюз E0 >Прокси сервер Proxy. > >В настройках маршрутизатора >access-list 101 permit ip host Я host Proxy >Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет. > > >Почучается, что мне никак не ограничить интернет, что бы был доступ на >только на mail.ru в существующей схеме? Попробуй на Proxy запретить всё кроме mail.ru
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Ограничение доступа"	+/–
	Сообщение от Scrappy (??) on 16-Авг-05, 13:18
	>>Привет всем! >>Вопрос, может не с месту но все же: >>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1 >>outside. >> >> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru >> >> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru >> >>В настройках локальной машины "Я" указывается шлюз E0 >>Прокси сервер Proxy. >> >>В настройках маршрутизатора >>access-list 101 permit ip host Я host Proxy >>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет. >> >> >>Почучается, что мне никак не ограничить интернет, что бы был доступ на >>только на mail.ru в существующей схеме? > >Попробуй на Proxy запретить всё кроме mail.ru В догонку, ещё как вариант можно попробывать отловить все ip адреса серверов mail.ru и разрешить в access-list и any deny. В принципе это что с ходу в голову приходит
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Ограничение доступа"	+/–
	Сообщение от Konst_t (ok) on 16-Авг-05, 13:25
	В чем и фишка, я могу только маршрутизатором управлять :-) Когдя я соединяюсть с прокси он и является дверью в инет :-)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Ограничение доступа"	+/–
	Сообщение от Scrappy (??) on 16-Авг-05, 13:32
	> > В чем и фишка, я могу только маршрутизатором управлять :-) > Когдя я соединяюсть с прокси он и является дверью в инет >:-) Ну тогда пробуй второй вариант ping mail.ru много раз, а потом в access-list ;)
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Ограничение доступа"	+/–
	Сообщение от Konst_t (ok) on 16-Авг-05, 13:44
	>Ну тогда пробуй второй вариант >ping mail.ru много раз, а потом в access-list ;) я могу забанить в acces-list весь интернет, но если у меня permit на Proxy, то толку никакого. В чем и вопрос, как хитро вывернуться? Либо в своей сетке ставить свой прокси дополнительно.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Ограничение доступа"	+/–
	Сообщение от Сайко on 16-Авг-05, 14:38
	Ну у mail.ru всего совамовские 2 сети класса C: inetnum: 194.67.23.0 - 194.67.23.255 netname: MAILRU-NET descr: Mail.ru descr: Pushechnaya st., 2/6 descr: 103012, Moscow country: RU tech-c: VG659-RIPE admin-c: VG659-RIPE status: ASSIGNED PA mnt-by: AS3216-MNT source: RIPE # Filtered person: Vladimir Gabrelyan address: 2/6, Pushechaya str., Moscow, Russia e-mail: gabrelyan@corp.mail.ru fax-no: +7 095 7256357 phone: +7 095 7256357 nic-hdl: VG659-RIPE source: RIPE # Filtered ======================================================= inetnum: 194.67.57.0 - 194.67.57.255 netname: MAILRU-NET2 descr: Mail.ru descr: Moscow, Russia country: RU admin-c: VG659-RIPE tech-c: VG659-RIPE status: ASSIGNED PA mnt-by: AS3216-MNT source: RIPE # Filtered person: Vladimir Gabrelyan address: 2/6, Pushechaya str., Moscow, Russia e-mail: gabrelyan@corp.mail.ru fax-no: +7 095 7256357 phone: +7 095 7256357 nic-hdl: VG659-RIPE source: RIPE # Filtered Соответственно вот такой ACL на внутреннем интерфейсе E0: access-list 100 remark allow only to mail.ru access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.23.0 0.0.0.255 access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.57.0 0.0.0.255 access-list 100 deny ip any any interface E0 ip access-group 100 in Можно и дальше извращяться - на вход внешнего интерфейса: access-list 101 remark allow only from mail.ru access-list 101 permit ip 194.67.23.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 194.67.57.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 deny ip any any interface E1 ip access-group 101 in Единственное замечание - необходимо проверить работу этого ACL вместе с NAT'ом! Также можно пойти еще дальше - разрешать только доступ к http и.т.д.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Ограничение доступа"	+/–
Сообщение от Sergey (??) on 24-Сен-12, 03:16
>[оверквотинг удален] > outside. > Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru > Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru > В настройках локальной машины "Я" указывается шлюз E0 > Прокси сервер Proxy. > В настройках маршрутизатора > access-list 101 permit ip host Я host Proxy > Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет. > Почучается, что мне никак не ограничить интернет, что бы был доступ на > только на mail.ru в существующей схеме? Довольно просто! HTTPS - если Вы доверяете издателю сертификата Twhafte, mail.ru (извините, но в точном имени издателя могу и ошибаться, mail.ru его напомнит по первому требованию, на весь остальной контент - ограничение доступа (не забудьте ввести контрольное слово)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору