محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
الأعزاء
محتاج أعمل Access list لمنع النت عن البعض في الشبكة
الشبكة فيها راوتر سيسكو 2851
عليه interface ethernet e0/0.1
له ip 10.10.32.1
الشبكة عبارة عن
10.10.32.0
255.255.252.0
عايز أقفل النت ( والنت فقط لأنه فيه ports تانية ضروريه خاصة بال data base وال dns وال dhcp) على الجميع ماعدا عدد 20 مستخدم
من 10.10.32.2
إلى 10.10.32.22
والباقيين يكون مفتوح لهم كل حاجة ماعدا النت
أريد الكود . وعلى أي interface يوضع وهل يكون inbound وللا يكون outbound
أرجو المساعدة
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
اخي الكريم
كيف يخرج الجميع للانترنت ؟؟ نحتاج توضيح اكثر للشبكة لديك
وعامة اذا كان من خلال هذا الروتر و الNAT فانت تحتاج الي ان تضبط ال Access list الخاصة بال NAT وذلك بعمل permit للمسموح لهم فقط
اما اذا كان الخروج للانترنت من خلال روتر اخر فيكون عليه هو هذا الامر باستخدام ال NAT ايضا وليس علي الراوتر الذي تحدثت عنه
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
access-list 1 deny 10.10.32.16 0.0.0.15
on interface fa0/0.1 or in interface fa0/0 out bounded
دة علشان تمنع دخولهم على النت لان دة مش بيتعملة nat
جربها و ان شاء الله تشتغل ارجو تقولى عاملت اية بعد ما تجرب
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
بالفعل نحتاج توضيح اكثر
ولكن هذه محاوله من طالب علم
access-list 100 permit tcp 10.10.32.0 0.0.0.15 gt 1023 any eq 80
access-list 100 deny tcp any gt 1023 any eq 80
access-list 100 permit ip any any
ثم تضعها inbound على الـ interface التي تربط الروتر بالانترنت
طبعاً هذه access-list سوف تسمح للاجهزه من 10.10.32.1 الى 10.10.32.31 يعني ثلاثين جهاز بالاتصال بصفحات الانترنت.ولكن لن تمنع الاجهزه من الاتصال بـ ftp server او غيرها من البرامج التي لا تعتمد على port 80 على شبكة الانترنت.
والله اعلم
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
اخي الكريم من فضلك ارسم النتورك لكي يتمكن أخوانك من التخيل الجيد للشبكة و من ثم يستطيعون مساعدتك
و هل كل ما تريد منعه هو التصفح فقط و تحميل الاشياء يعني مش يفتح www فهذه سهلة جدا
router(config)#access-list 100 deny any any eq 80
لكن انا ما قرات بقية كلامك للاخر لاني عن نفسي لا اتخيل نتورك غير لما تكون مرسومة أمامي
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
تمام فلا يا اخ محمد انا محتاج ارى النتورك علشان يسهل علينا الاجابه
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
الأعزاء
شكرا لردودكم
وأسف على التأخر في الرد
لكن احتدت أعمل download لبرنامج Concept drow علشان أرسم بيه تصميم الشبكة
وها هو التصميم مرسوما
https://i35.tinypic.com/nvw3g8.jpg
كنت عايز أقول إن كل الناس عندها obtainan IP adress Automatically
وكل الناس شايفة النت
ال DHCP موجود على راوتر سيسكو
ال DNS و ال domain controller على microsoft windows server 2003
يوجد في الشبكة Data Base Server
حاولت أعمل Access List على النحو التالي :
ip access list extended aclname
deny tcp host 10.10.32.2 any eq 80
deny tcp host 10.10.32.3 any eq 80
deny tcp host 10.10.32.4 any eq 80
deny tcp host 10.10.32.5 any eq 80
permit tcp any any
وشغلتها على ال interface e0/0.1
inbound
ولكن النتايج غير طبيعية حيث يغلق علي المجموعة اللي مانعها من النت يغلق عليها بقية الPorts فيفقدوا الاتصال بال DHCP وال Data Base Server[/B][/B]
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
اخي الكريم الامر الاخير غيره الي الاتي
permit ip any any
معظم ما قلت من بورتات تستخدم ال udp
فبالامر الذي استخدمته انت سمح فقط الي tcp والامر الاخير الموجود في كل acl وهو deny all سيمنع الباقي لذا فسيمنع ال udp وهو ما حدث معك
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
السلام عليكم ورحمه الله وبركاته
قم بتكوين EXTENDED ACCESS-LIST
Router(config)#ip access-list extended ACL
Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80
Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps
Router(config-ext-nacl)#permit tcp any any eq 53
Router(config-ext-nacl)#permit udp any any eq 53
وقم بتطبيق ACL على الانترفيس e0/0.1 على الاتجاه inbound للروتر جهة اليمين فى رسمتك
وجرب وان شاء الله خير
وبالتوفيق ان شاء الله ،،،
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
اقتباس:
المشاركة الأصلية كتبت بواسطة Eng. Mohamed
اخي الكريم الامر الاخير غيره الي الاتي
permit ip any any
الحل كما ذكر
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
شكرا للأخوه على ردودهم المعتبرة
لكن قبل ما اجرب
كنت محتاج الأخ FrozenEyes يفهمني ليه 10.10.32.2 0.0.0.20 اللي في الأمر
Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80
وكمان ليه 0.0.0.3 وإشمعنى bootps اللي في الأمر
Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps
مع العلم إني عايز أقفل النت على الجميع ما عدا من 10.10.32.2 إلى 10.10.32.22 على الراوتر الأول و ال subnet mask عندي هو 255.255.252.0
وكمان أقفل النت على الجميع ما عدا من 10.10.64.2 إلى 10.10.64.12 على الراوتر التاني و ال subnet mask عندي هو 255.255.252.0
وأشكركم
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
جربت النهارده ولوقت طويل جدا كل الحلول التي طرحت وغيرها كتير.
ولكن.............................
النتايج كانت خلاف المتوقع
يعني فين المشكلة لما أعمل :
permit tcp host 10.10.32.10 any
permit udp host 10.10.32.10 any
permit icmp host 10.10.32.10 any
permit ip host 10.10.32.10 any
permit tcp any any neq 80
يعني سمحت لماكينة محددة بكل حاجة بما في ذلك النت ، وسمحت لكل الباقيين كل حاجة ماعدا النت
إيه الغلط في كده ؟؟؟؟؟؟
وجربتها على واحد واحد من ال (interfaces) في كل من ال (in) و ال (out) برده مافيش فايده
حد عنه رد ؟
رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة
هو الموضوع بسيط ليه كم الاوامر ده
اتفضل اللي المفروض تكتبه على الراوتر من جهة اليمين وهو غير متصل بالموديم مباشرة:
Router(config)#ip access-list 110 deny tcp 10.10.32.2 0.0.3.255 any eq 80
Router(config)#ip access-list 110 premit any any
Router(config)#int e 0/0.1
Router(config-if)# ip access-group 110 in
وزد من السطر الاول زي ما انت عايز غير بس رقم البورت بباقي البورتات لخدمات النت التي تريد منعها غير 80 اللي هو www
وطبعا ممكن تمنع مجموعة خدمات مره واحدة باستخدام الخصائص البديلة ل eq مثل gt , lt وهكذا