access-list

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SKTV
проходил мимо

access-list

Непрочитанное сообщение SKTV » 2008-03-06 14:01:14

Здрасти. :)
Помогите разобраться. Вопрос такой. Поставил в игровом зале новые игрушки в режиме онлайн. Т.е. играющий оплачивая например час может сесть за комп и в инете скачать новые карты. Я этого не хочу, так как те 15 рубл. за час у играющего слетают из-за инета в 5 минут.
Игрушки лезут в инет по определенным портам 27000-27050. Я хочу это отключить на маршрутизаторе раздающем интернет cisco 1700 с помощью акцеслистов. Пусть эти порты будут открыты в локалке, т.к. там происходит обмен.
Как мне на циске запретить эти порты? Чтобы она не выпускала всю локалку (192.168.1.0/24) с этими портами в инет?
Пробовал так:
access-list 101 deny tcp any host 1.1.1.1 eq 27000
Короче это не правельно :(
Как быть?
В инет они лезут через прокси

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: access-list

Непрочитанное сообщение zingel » 2008-03-06 15:30:36

блин, ну а в инет через что они ходят (айпишнег дайте), что за прокси? и вообще, дайте вывод show running-config
Z301171463546 - можно пожертвовать мне денег

SKTV
проходил мимо

Re: access-list

Непрочитанное сообщение SKTV » 2008-03-06 16:19:58

Код: Выделить всё

aaa authentication login default local
aaa authorization exec default if-authenticated
aaa session-id common
ip subnet-zero
no ip source-route
!
ip cef
ip name-server 217.150.34.129
no ftp-server write-enable
!
controller E1 0/0
channel-group 0 timeslots 1-31
!
controller E1 0/1
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface Serial0/0:0
bandwidth 1984
ip address 217.150.57.109 255.255.255.252
ip nat outside
encapsulation ppp
ip route-cache policy
ip route-cache flow
no fair-queue
!
ip default-gateway 217.150.57.110
ip nat inside source list 100 interface Serial0/0:0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0:0 217.150.57.110
!
no ip http server
!
access-list 1 permit 217.23.71.142
access-list 1 permit 213.80.161.4
access-list 1 permit 213.80.161.1
access-list 1 permit 192.168.2.2
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
password 7 094F471A1A0A
!
no scheduler allocate
!
end
Вот через эту циску мы берем инет. На ней и хочу закрыть порты выше указанные, чтобы дальше циски нини.
А в инет они ходят через прокси 192.168.1.222, которая стоит на серваке.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: access-list

Непрочитанное сообщение zingel » 2008-03-06 17:21:35

по TCP игрухи лезут в инет?
если да, то вот так

Код: Выделить всё

access-list 100 extended permit tcp any host 192.168.1.222  eq  27000
access-group 100 in interface outside
Z301171463546 - можно пожертвовать мне денег

Гость
проходил мимо

Re: access-list

Непрочитанное сообщение Гость » 2008-03-06 18:01:29

Но так закроется только один порт, а мне надо от 27000 до 27050. Или на каждый порт строчка?
Если и по udp лезут, тоже для профилактики закрыть надо.
А можно целой подсетке указать, сто порты эти закрыты?

SKTV
проходил мимо

Re: access-list

Непрочитанное сообщение SKTV » 2008-03-06 18:20:38

У меня только так на циске можно

Код: Выделить всё

access-list 100 deny tcp any host 192.168.1.222  eq  27000
а эта строчка не пихается

Код: Выделить всё

access-group 100 in interface outside

sktv
проходил мимо

Re: access-list

Непрочитанное сообщение sktv » 2008-03-06 18:27:29

У меня такая сеть.
<локалка(192,168,1,0/24> -><em0(local)192.168.1.222><сервер c proxy(192.168.1.222)><em1(inet)192.168.2.2> -> <cisco 1700(192.168.2.1)> NAT-> intrenet

Намудрил :)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: access-list

Непрочитанное сообщение zingel » 2008-03-06 21:00:57

заработало или нет?, если нет, то модель IOS и точную модель кошки скажите.
Z301171463546 - можно пожертвовать мне денег

sktv
проходил мимо

Re: access-list

Непрочитанное сообщение sktv » 2008-03-07 9:49:49

А хрен его знает, клуб в выходные не работает. Просто прикол такой, игровой клуб от меня находится на 40 км. В понидельник их ний админ проверит. :)

Код: Выделить всё

IOS (tm) C1700 Software (C1700-IPBASE-M), Version 12.3(1) RELEASE SOFTWARE (fc3)
Сама циска Cisco 1700

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: access-list

Непрочитанное сообщение zingel » 2008-03-08 5:55:18

обновляйтесь до 12.4
Z301171463546 - можно пожертвовать мне денег