Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
XliN
- мл. сержант
- Сообщения: 145
- Зарегистрирован: 2007-10-10 17:16:28
-
Контактная информация:
Непрочитанное сообщение
XliN » 2008-03-27 9:22:23
Как мне запретить на циске прохождение всех IP из пулов и открывать только привязав IP по MAC адресу к конкретному пользователю?
Код: Выделить всё
ip dhcp pool Mars
host 172.16.2.254
hardware-address 02c7.f800.0422 ieee802
client-name Mars
Вот так я понимаю надо на каждого пользователя. А как запретить остальных?
XliN
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Непрочитанное сообщение
hizel » 2008-03-27 11:26:21
в аксес листе прописать только тех кто прописан в dhcp
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
hizel
-
XliN
- мл. сержант
- Сообщения: 145
- Зарегистрирован: 2007-10-10 17:16:28
-
Контактная информация:
Непрочитанное сообщение
XliN » 2008-03-27 11:34:42
А можно подробнее. Не получается разобраться.
XliN
-
XliN
- мл. сержант
- Сообщения: 145
- Зарегистрирован: 2007-10-10 17:16:28
-
Контактная информация:
Непрочитанное сообщение
XliN » 2008-03-27 12:22:09
Вот мое письмо сисадмину
> У меня стоит CMTS(головная модемная станция) 7111. Она роздает IP клиентам по DHCP. Т.е. Клиент подсоединен к модему, а CMTS из двух пулов дает Ip. Первый самому модему, а второй уже сетевой карточке.
> Как мне запретить на циске прохождение всех IP из обоих пулов и открывать только привязав IP по MAC адресу к конкретному пользователю?
> А то любой чел может купить модем и подрубиться к инету. Ему прекрасно все раздаться и IP и шлюзик и т.д.
Ну и пусть его модем получит адрес... Модем в интернет не ходит, туда
ходит CPE...
>
> ip dhcp pool Mars
> host 172.16.2.254
> hardware-address 02c7.f800.0422 ieee802
> client-name Mars
>
> Вот так я понимаю надо на каждого пользователя. А как запретить остальных?
Правильно. Очень просто - там есть ACL, в которой перечислены адреса,
которым разрешен выход в интернет, и которым должен управлять биллинг
(номера 105 и 106, подробности в мануале к UTM) привяжи его к кабельным
интерфейсам (Cable...), все адреса которых там нет - идут курить на
крылечко...
на циске есть строчки которые были взяты с доки UTM
Код: Выделить всё
access-list 105 dynamic inc permit ip any any
access-list 105 permit ip 172.16.0.0 0.0.0.255 any
access-list 106 dynamic outc permit ip any any
access-list 106 permit ip 172.16.0.0 0.0.0.255 any
Код: Выделить всё
ip dhcp pool Mars
host 172.16.1.3
hardware-address 02c7.f800.0422 ieee802
client-name Mars
Этого будет достаточно?
XliN
-
XliN
- мл. сержант
- Сообщения: 145
- Зарегистрирован: 2007-10-10 17:16:28
-
Контактная информация:
Непрочитанное сообщение
XliN » 2008-03-27 14:00:46
> access-list 105 dynamic inc permit ip any any
> access-list 105 permit ip 172.16.0.0 0.0.0.255 any
> access-list 106 dynamic outc permit ip any any
> access-list 106 permit ip 172.16.0.0 0.0.0.255 any
сейчас открыто для всех из сети 172.16.0.0/24, а должны быть прописаны
все клиенты, у которых есть доступ. Подробнее читай на cisco.com.
как это сделать?
у меня прописан пользователь
Код: Выделить всё
ip dhcp pool Mars
host 172.16.1.3
hardware-address 02c7.f800.0422 ieee802
client-name Mars
XliN
-
XliN
- мл. сержант
- Сообщения: 145
- Зарегистрирован: 2007-10-10 17:16:28
-
Контактная информация:
Непрочитанное сообщение
XliN » 2008-03-27 21:51:27
Не пойму. Как я понимаю CMTS долна проверять МАС адрес и если он совпадает давать IP который прописат в самой циске.
Тогда почему не роботает? Вот что я натворил.
1. Исправил правила доступа и открыл доступ только на 1 модем.
access-list 105 dynamic inc permit ip any any
access-list 105 permit host 172.16.0.3 any
access-list 106 dynamic outc permit ip any any
access-list 106 permit host any 172.16.0.3 0.0.0.255
в int cable 1/0 дописал
ip access-group 105 in
ip access-group 106 out
И создал новый пул для пользователя
ip dhcp pool user2
host 172.16.1.3 255.255.255.0 - тут IP надо модема или хоста?
hardware-address 000e.5c01.155c - взял с наклейки модема
client-name user2
После всего этого, как я понимаю, модем с этим МАС адресом должен автоматом прописаться с IP 172.16.1.3
Что не верно?
XliN