The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ограничение доступа"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Ограничение доступа"  +/
Сообщение от Konst_t (ok) on 16-Авг-05, 13:09 
Привет всем!
Вопрос, может не с месту но все же:
Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1 outside.

Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru

Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru

В настройках локальной машины "Я" указывается шлюз E0
Прокси сервер Proxy.

В настройках маршрутизатора
access-list 101 permit ip host Я host Proxy
Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.

Почучается, что мне никак не ограничить интернет, что бы был доступ на только на mail.ru в существующей схеме?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ограничение доступа"  +/
Сообщение от Scrappy (??) on 16-Авг-05, 13:15 
>Привет всем!
>Вопрос, может не с месту но все же:
>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>outside.
>
> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>
> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>
>В настройках локальной машины "Я" указывается шлюз E0
>Прокси сервер Proxy.
>
>В настройках маршрутизатора
>access-list 101 permit ip host Я host Proxy
>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>
>
>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>только на mail.ru в существующей схеме?

Попробуй на Proxy запретить всё кроме mail.ru


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ограничение доступа"  +/
Сообщение от Scrappy (??) on 16-Авг-05, 13:18 
>>Привет всем!
>>Вопрос, может не с месту но все же:
>>Есть маршрутизатор 800 серии. Поднят Nat с access list-ами. E0 inside, E1
>>outside.
>>
>> Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>>
>> Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
>>
>>В настройках локальной машины "Я" указывается шлюз E0
>>Прокси сервер Proxy.
>>
>>В настройках маршрутизатора
>>access-list 101 permit ip host Я host Proxy
>>Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
>>
>>
>>Почучается, что мне никак не ограничить интернет, что бы был доступ на
>>только на mail.ru в существующей схеме?
>
>Попробуй на Proxy запретить всё кроме mail.ru

В догонку, ещё как вариант можно попробывать отловить все ip адреса серверов mail.ru и разрешить в access-list и any deny.
В принципе это что с ходу в голову приходит

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ограничение доступа"  +/
Сообщение от Konst_t (ok) on 16-Авг-05, 13:25 

В чем и фишка, я могу только маршрутизатором управлять :-)
Когдя я соединяюсть с прокси он и является дверью в инет :-)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ограничение доступа"  +/
Сообщение от Scrappy (??) on 16-Авг-05, 13:32 
>
> В чем и фишка, я могу только маршрутизатором управлять :-)
> Когдя я соединяюсть с прокси он и является дверью в инет
>:-)

Ну тогда пробуй второй вариант
ping mail.ru много раз, а потом в access-list ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Ограничение доступа"  +/
Сообщение от Konst_t (ok) on 16-Авг-05, 13:44 

>Ну тогда пробуй второй вариант
>ping mail.ru много раз, а потом в access-list ;)

я могу забанить в acces-list весь интернет, но если у меня permit на Proxy, то толку никакого. В чем и вопрос, как хитро вывернуться? Либо в своей сетке ставить свой прокси дополнительно.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Ограничение доступа"  +/
Сообщение от Сайко on 16-Авг-05, 14:38 
Ну у mail.ru всего совамовские 2 сети класса C:
inetnum:      194.67.23.0 - 194.67.23.255
netname:      MAILRU-NET
descr:        Mail.ru
descr:        Pushechnaya st., 2/6
descr:        103012, Moscow
country:      RU
tech-c:       VG659-RIPE
admin-c:      VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered

person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered
=======================================================
inetnum:      194.67.57.0 - 194.67.57.255
netname:      MAILRU-NET2
descr:        Mail.ru
descr:        Moscow, Russia
country:      RU
admin-c:      VG659-RIPE
tech-c:       VG659-RIPE
status:       ASSIGNED PA
mnt-by:       AS3216-MNT
source:       RIPE # Filtered

person:       Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:       gabrelyan@corp.mail.ru
fax-no:       +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
source:       RIPE # Filtered


Соответственно вот такой ACL на внутреннем интерфейсе E0:
access-list 100 remark allow only to mail.ru
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.23.0 0.0.0.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 194.67.57.0 0.0.0.255
access-list 100 deny   ip any any

interface E0
ip access-group 100 in

Можно и дальше извращяться - на вход внешнего интерфейса:
access-list 101 remark allow only from mail.ru
access-list 101 permit ip 194.67.23.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 permit ip 194.67.57.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny   ip any any

interface E1
ip access-group 101 in

Единственное замечание - необходимо проверить работу этого ACL вместе с NAT'ом!

Также можно пойти еще дальше - разрешать только доступ к http и.т.д.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Ограничение доступа"  +/
Сообщение от Sergey email(??) on 24-Сен-12, 03:16 
>[оверквотинг удален]
> outside.
>  Я (192,168,1,5) ---- E0 (192.168.1.1)- E1 (195.54.1.1)----- Proxy (10.10.1.1)---- Интернет--mail.ru
>  Как разрешить доступ с помощью access-list ТОЛЬКО!!! к узлу mail.ru
> В настройках локальной машины "Я" указывается шлюз E0
> Прокси сервер Proxy.
> В настройках маршрутизатора
> access-list 101 permit ip host Я host Proxy
> Маршрутизатор настроен как НАТ и открывает через прокси мне доступ в инет.
> Почучается, что мне никак не ограничить интернет, что бы был доступ на
> только на mail.ru в существующей схеме?

Довольно просто! HTTPS - если Вы доверяете издателю сертификата Twhafte, mail.ru (извините, но в точном имени издателя могу и ошибаться, mail.ru его напомнит по первому требованию, на весь остальной контент - ограничение доступа (не забудьте ввести контрольное слово)


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру