access-list

[SKTV]

Здрасти.
Помогите разобраться. Вопрос такой. Поставил в игровом зале новые игрушки в режиме онлайн. Т.е. играющий оплачивая например час может сесть за комп и в инете скачать новые карты. Я этого не хочу, так как те 15 рубл. за час у играющего слетают из-за инета в 5 минут.
Игрушки лезут в инет по определенным портам 27000-27050. Я хочу это отключить на маршрутизаторе раздающем интернет cisco 1700 с помощью акцеслистов. Пусть эти порты будут открыты в локалке, т.к. там происходит обмен.
Как мне на циске запретить эти порты? Чтобы она не выпускала всю локалку (192.168.1.0/24) с этими портами в инет?
Пробовал так:
access-list 101 deny tcp any host 1.1.1.1 eq 27000
Короче это не правельно
Как быть?
В инет они лезут через прокси

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

блин, ну а в инет через что они ходят (айпишнег дайте), что за прокси? и вообще, дайте вывод show running-config

[SKTV]

Код: Выделить всё

aaa authentication login default local
aaa authorization exec default if-authenticated
aaa session-id common
ip subnet-zero
no ip source-route
!
ip cef
ip name-server 217.150.34.129
no ftp-server write-enable
!
controller E1 0/0
channel-group 0 timeslots 1-31
!
controller E1 0/1
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface Serial0/0:0
bandwidth 1984
ip address 217.150.57.109 255.255.255.252
ip nat outside
encapsulation ppp
ip route-cache policy
ip route-cache flow
no fair-queue
!
ip default-gateway 217.150.57.110
ip nat inside source list 100 interface Serial0/0:0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0:0 217.150.57.110
!
no ip http server
!
access-list 1 permit 217.23.71.142
access-list 1 permit 213.80.161.4
access-list 1 permit 213.80.161.1
access-list 1 permit 192.168.2.2
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
password 7 094F471A1A0A
!
no scheduler allocate
!
end

Вот через эту циску мы берем инет. На ней и хочу закрыть порты выше указанные, чтобы дальше циски нини.
А в инет они ходят через прокси 192.168.1.222, которая стоит на серваке.

[zingel]

по TCP игрухи лезут в инет?
если да, то вот так

Код: Выделить всё

access-list 100 extended permit tcp any host 192.168.1.222  eq  27000
access-group 100 in interface outside

[Гость]

Но так закроется только один порт, а мне надо от 27000 до 27050. Или на каждый порт строчка?
Если и по udp лезут, тоже для профилактики закрыть надо.
А можно целой подсетке указать, сто порты эти закрыты?

[SKTV]

У меня только так на циске можно

Код: Выделить всё

access-list 100 deny tcp any host 192.168.1.222  eq  27000

а эта строчка не пихается

Код: Выделить всё

access-group 100 in interface outside

[sktv]

У меня такая сеть.
<локалка(192,168,1,0/24> -><em0(local)192.168.1.222><сервер c proxy(192.168.1.222)><em1(inet)192.168.2.2> -> <cisco 1700(192.168.2.1)> NAT-> intrenet

Намудрил

[zingel]

заработало или нет?, если нет, то модель IOS и точную модель кошки скажите.

[sktv]

А хрен его знает, клуб в выходные не работает. Просто прикол такой, игровой клуб от меня находится на 40 км. В понидельник их ний админ проверит.

Код: Выделить всё

IOS (tm) C1700 Software (C1700-IPBASE-M), Version 12.3(1) RELEASE SOFTWARE (fc3)

Сама циска Cisco 1700

[zingel]

обновляйтесь до 12.4