Страница 1 из 1
access-list
Добавлено: 2008-03-06 14:01:14
SKTV
Здрасти.
Помогите разобраться. Вопрос такой. Поставил в игровом зале новые игрушки в режиме онлайн. Т.е. играющий оплачивая например час может сесть за комп и в инете скачать новые карты. Я этого не хочу, так как те 15 рубл. за час у играющего слетают из-за инета в 5 минут.
Игрушки лезут в инет по определенным портам 27000-27050. Я хочу это отключить на маршрутизаторе раздающем интернет cisco 1700 с помощью акцеслистов. Пусть эти порты будут открыты в локалке, т.к. там происходит обмен.
Как мне на циске запретить эти порты? Чтобы она не выпускала всю локалку (192.168.1.0/24) с этими портами в инет?
Пробовал так:
access-list 101 deny tcp any host 1.1.1.1 eq 27000
Короче это не правельно
Как быть?
В инет они лезут через прокси
Re: access-list
Добавлено: 2008-03-06 15:30:36
zingel
блин, ну а в инет через что они ходят (айпишнег дайте), что за прокси? и вообще, дайте вывод show running-config
Re: access-list
Добавлено: 2008-03-06 16:19:58
SKTV
Код: Выделить всё
aaa authentication login default local
aaa authorization exec default if-authenticated
aaa session-id common
ip subnet-zero
no ip source-route
!
ip cef
ip name-server 217.150.34.129
no ftp-server write-enable
!
controller E1 0/0
channel-group 0 timeslots 1-31
!
controller E1 0/1
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface Serial0/0:0
bandwidth 1984
ip address 217.150.57.109 255.255.255.252
ip nat outside
encapsulation ppp
ip route-cache policy
ip route-cache flow
no fair-queue
!
ip default-gateway 217.150.57.110
ip nat inside source list 100 interface Serial0/0:0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0:0 217.150.57.110
!
no ip http server
!
access-list 1 permit 217.23.71.142
access-list 1 permit 213.80.161.4
access-list 1 permit 213.80.161.1
access-list 1 permit 192.168.2.2
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.255 any
radius-server authorization permit missing Service-Type
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
password 7 094F471A1A0A
!
no scheduler allocate
!
end
Вот через эту циску мы берем инет. На ней и хочу закрыть порты выше указанные, чтобы дальше циски нини.
А в инет они ходят через прокси 192.168.1.222, которая стоит на серваке.
Re: access-list
Добавлено: 2008-03-06 17:21:35
zingel
по TCP игрухи лезут в инет?
если да, то вот так
Код: Выделить всё
access-list 100 extended permit tcp any host 192.168.1.222 eq 27000
access-group 100 in interface outside
Re: access-list
Добавлено: 2008-03-06 18:01:29
Гость
Но так закроется только один порт, а мне надо от 27000 до 27050. Или на каждый порт строчка?
Если и по udp лезут, тоже для профилактики закрыть надо.
А можно целой подсетке указать, сто порты эти закрыты?
Re: access-list
Добавлено: 2008-03-06 18:20:38
SKTV
У меня только так на циске можно
Код: Выделить всё
access-list 100 deny tcp any host 192.168.1.222 eq 27000
а эта строчка не пихается
Re: access-list
Добавлено: 2008-03-06 18:27:29
sktv
У меня такая сеть.
<локалка(192,168,1,0/24> -><em0(local)192.168.1.222><сервер c proxy(192.168.1.222)><em1(inet)192.168.2.2> -> <cisco 1700(192.168.2.1)> NAT-> intrenet
Намудрил
Re: access-list
Добавлено: 2008-03-06 21:00:57
zingel
заработало или нет?, если нет, то модель IOS и точную модель кошки скажите.
Re: access-list
Добавлено: 2008-03-07 9:49:49
sktv
А хрен его знает, клуб в выходные не работает. Просто прикол такой, игровой клуб от меня находится на 40 км. В понидельник их ний админ проверит.
Код: Выделить всё
IOS (tm) C1700 Software (C1700-IPBASE-M), Version 12.3(1) RELEASE SOFTWARE (fc3)
Сама циска Cisco 1700
Re: access-list
Добавлено: 2008-03-08 5:55:18
zingel
обновляйтесь до 12.4