Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
  • 0

Разрешить выход в инет выборочным IP адресам

dvg_lab

Asked by dvg_lab,

 Share

Question

dvg_lab Advanced Member

dvg_lab

Posted
Posted

Нужна хитрая конфигурация, пока не понял как сделать.

С LAN в ISP нужно разрешить выход в инет только определенным IP адресам (скажем для 192.168.1.128/26 куска) я пытался сделать два правила в МСЭ на ISP интерфейс, первое пермит с указанного куска сети на любые адреса, второе запрет всего и вся. Но даже если оставить одно правило с запретом, то все равно пинги наружу идут. Это очень странно или я делаю что-то не так?

Далее для всего LAN нужно разрешить выход в инет только на определенные IP адреса...

Пока такая конструкция не работает как ожидается 

access-list _WEBADMIN_ISP
    permit ip 0.0.0.0 0.0.0.0 178.248.xxx.xxx 255.255.255.255
    permit tcp 192.168.1.128 255.255.255.192 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Выход в инет в итоге есть у всех IP адресов и куда угодно.

Link to comment
Share on other sites

2 answers to this question

Recommended Posts

  • 0
r13 Honored Flooder

r13

Posted
Posted (edited)
11 минуту назад, dvg_lab сказал:

Нужна хитрая конфигурация, пока не понял как сделать.

С LAN в ISP нужно разрешить выход в инет только определенным IP адресам (скажем для 192.168.1.128/26 куска) я пытался сделать два правила в МСЭ на ISP интерфейс, первое пермит с указанного куска сети на любые адреса, второе запрет всего и вся. Но даже если оставить одно правило с запретом, то все равно пинги наружу идут. Это очень странно или я делаю что-то не так?

Далее для всего LAN нужно разрешить выход в инет только на определенные IP адреса...

Пока такая конструкция не работает как ожидается 


access-list _WEBADMIN_ISP
    permit ip 0.0.0.0 0.0.0.0 178.248.xxx.xxx 255.255.255.255
    permit tcp 192.168.1.128 255.255.255.192 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Выход в инет в итоге есть у всех IP адресов и куда угодно.

На Home сегменте правила настраивайте, на ISP пакеты приходят на внешний адрес.

ЗЫ если на ISP настраивать, еще нужно новый acl создавать, так как направление действия отлично от того что по умолчанию

https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном

 

Edited by r13
Link to comment
Share on other sites
  • 0
dvg_lab Advanced Member

dvg_lab

Posted
  • Author
Posted
32 минуты назад, r13 сказал:

На Home сегменте правила настраивайте, на ISP пакеты приходят на внешний адрес.

ЗЫ если на ISP настраивать, еще нужно новый acl создавать, так как направление действия отлично от того что по умолчанию

https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном

 

Спасибо, да, на Home интерфейсе удалось собрать необходимую рабочую конструкцию и все заработало как надо.

Потом уже на ISP интерфейсе увидел что дефолтное правило действительно выглядит вот так 

ip access-group _WEBADMIN_ISP in
а по идее мне нужен был out.

PS: В качестве эксперимента поменял на out в консоли и тут же отвалился ))))

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...