Хорошо

AR1220 блокировка ip

Опубликовано 2021-7-22 13:35:56Последний ответ июл 28, 2021 10:44:08 804 13 9 0 1
  Награжденные Форбаллы: 0 (Проблема решена)

Приведствую,

Подскажите как на указанном маршрутизаторе заблокировать выход в интернет для конкретного ip?

Пересмотрел все настроки ACL и фаервола не нашол этого :-(

Пост синхронизирован: Проблемы и их решения

  • x

Избранные ответы
VictorSergeevich
HCIE MVE Опубликовано 2021-7-27 00:20:57
Опубликовано пользователем fox_den в 2021-07-23 12:45 Здравствуйте,Сделал все по инструкции но с компа все  ...

Добрый день!

Если Вам нужно фильтровать по IP, то решение Vasyo с traffic filter Вам поможет. 

Если же по MAC, то предложенный Вами конфиг можно поменять:
1. ACL фильтром надо запрещать (deny) MAC, который не надо пускать дальше, и следующим правилом разрешать все остальное;
2. Behavior соответственно разрешать (permit) для вышестоящего ACL, те. он пропустит MAC-и, которым можно;
3. и самое основное - т.к. фильтрация по MAC, то вешать filter-policy надо не на выходной интерфейс, а на внутренний. У Вас же в примере NAT, соответственно меняется MAC пакета на MAC выходного интерфейса, и QOS его не поймает.

соответственно в Вашем примере (конф AR1, схема по аналогии схемы Vasyo):


acl number 4000  
rule 5 deny source-mac 502f-9b05-0703
rule 10 permit

traffic classifier tc1 operator or
if-match acl 4000
#
traffic behavior tb1
permit
#
traffic policy tp1
classifier tc1 behavior tb1


interface GigabitEthernet0/0/1
ip address ...
traffic-policy tp1 inbound


Обратите внимание - интерфейс внутренний (а не внешний), номера портов брал такие же, как в схеме Vasyo. Проверил в eNSP – у меня работает.


Развернуть
  • x

Рекомендуемые ответы

Vasyo
Админ Опубликовано 2021-7-22 14:12:39
Здравствуйте, думаю, что вам может помочь данная инструкция, если вы замените MAC-адрес функцию на IP-адрес и замените направление применение правила:

https://support.huawei.com/enterprise/en/doc/EDOC1000174075/4bef17f1/example-for-using-layer-2-acls-to-block-network-access-of-the-specified-users
Развернуть
  • x

Все ответы
Vasyo
Vasyo Админ Опубликовано 2021-7-22 14:12:39
Здравствуйте, думаю, что вам может помочь данная инструкция, если вы замените MAC-адрес функцию на IP-адрес и замените направление применение правила:

https://support.huawei.com/enterprise/en/doc/EDOC1000174075/4bef17f1/example-for-using-layer-2-acls-to-block-network-access-of-the-specified-users
Развернуть
  • x

Maksim
Maksim HCIE MVE Опубликовано 2021-7-22 21:35:38
Как не нашли? deny для 1 ip, permit для остальных и повесить на интерфейс
Развернуть
  • x

fox_den
fox_den Опубликовано 2021-7-23 12:45:36
Опубликовано пользователем Vasyo в 2021-07-22 14:12 Здравствуйте, думаю, что вам может помочь данная инстр ...
Здравствуйте,
Сделал все по инструкции но с компа все равно есть доступ в интернет.

acl name GigabitEthernet0/0/0 2999
rule 5 permit
#
acl number 4000
rule 5 deny source-mac 502f-9b05-0703

#
traffic classifier tc1 operator or
if-match acl 4000
#
traffic behavior tb1
deny
#
traffic policy tp1
classifier tc1 behavior tb1 precedence 5

interface GigabitEthernet0/0/0
description Internet
ip address 90.155.45.116 255.255.255.252
nat outbound 2999
traffic-policy tp1 inbound
Развернуть
  • x

Vasyo
Vasyo Опубликовано 2021-7-23 14:17 (0) (0)
У вас правило применяется на входящий трафик, а должен на исходящий
traffic-policy tp1 inbound  
fox_den
fox_den Ответить Vasyo  Опубликовано 2021-7-23 15:29 (0) (0)
traffic-policy tp1 outbound

Исправил. Тоже самое без изменений.  
mkabanov
mkabanov Ответить fox_den  Опубликовано 2021-7-25 11:17 (0) (0)
Что-то Вы сильно усложнили себе решение - через QoS (наверно и должно фильтроваться, но нужно читать...)
Посмотрите ниже (решение от Vasyo) - фильтр "прикручен" напрямую к интерфейсу.  
VictorSergeevich
VictorSergeevich Опубликовано 2021-7-27 00:22 (0) (0)
Добрый день! Сюда не поместился конфиг, предложенное решение ниже.  
Vasyo
Vasyo Админ Опубликовано 2021-7-23 18:08:54
Опубликовано пользователем fox_den в 2021-07-23 12:45 Здравствуйте,Сделал все по инструкции но с компа все  ...

1

AR1:

!

acl number 2000

  rule 5 deny source 192.168.0.1 0.0.0.0

  rule 10 permit source any

 !

  int GigabitEthernet 0/0/0

  traffic-filter outbound acl 2000

 quit


PC>ping 90.155.45.118


Ping 90.155.45.118: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!


--- 90.155.45.118 ping statistics ---

  5 packet(s) transmitted

  0 packet(s) received

  100.00% packet loss


<AR1>display acl 2000

Basic ACL 2000, 2 rules

Acl's step is 5

 rule 5 deny source 192.168.0.0 0.0.0.255 (5 matches)

 rule 10 permit (25 matches)


<AR1>


Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-25 11:19 (0) (0)
Ну, это безусловное "фаталити" для данной задачи :)
+ Я согласен с тем, что не нужно фильтры на основе MAC делать: себе же разгрузите "головняк" по смене архитектуры сети или каких-нибудь ПО на ПК...  
fox_den
fox_den Ответить mkabanov  Опубликовано 2021-7-28 10:38 (0) (0)
Фаталити было успошно отражено компьютером охраны и они все так же наслаждаются просмотром Ютюба и прочего :-)))
маршрутизатор усердно выпускает их в инет.  
VictorSergeevich
VictorSergeevich HCIE MVE Опубликовано 2021-7-27 00:20:57
Опубликовано пользователем fox_den в 2021-07-23 12:45 Здравствуйте,Сделал все по инструкции но с компа все  ...

Добрый день!

Если Вам нужно фильтровать по IP, то решение Vasyo с traffic filter Вам поможет. 

Если же по MAC, то предложенный Вами конфиг можно поменять:
1. ACL фильтром надо запрещать (deny) MAC, который не надо пускать дальше, и следующим правилом разрешать все остальное;
2. Behavior соответственно разрешать (permit) для вышестоящего ACL, те. он пропустит MAC-и, которым можно;
3. и самое основное - т.к. фильтрация по MAC, то вешать filter-policy надо не на выходной интерфейс, а на внутренний. У Вас же в примере NAT, соответственно меняется MAC пакета на MAC выходного интерфейса, и QOS его не поймает.

соответственно в Вашем примере (конф AR1, схема по аналогии схемы Vasyo):


acl number 4000  
rule 5 deny source-mac 502f-9b05-0703
rule 10 permit

traffic classifier tc1 operator or
if-match acl 4000
#
traffic behavior tb1
permit
#
traffic policy tp1
classifier tc1 behavior tb1


interface GigabitEthernet0/0/1
ip address ...
traffic-policy tp1 inbound


Обратите внимание - интерфейс внутренний (а не внешний), номера портов брал такие же, как в схеме Vasyo. Проверил в eNSP – у меня работает.


Развернуть
  • x

fox_den
fox_den Опубликовано 2021-7-28 10:44:08
Буду проводить эксперементы на тестовом компе. Пока на компе охраны просто убрал ДНС и все :-) Какой то он заговоренный блин.
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-28 16:50 (0) (0)
:)) еще посмотрите внимательнее - а не через телефон-ли они интернет на ПК своем юзают!
Это-же стандартно сейчас везде = на работе запретили/ограничили, так мы сами тогда...:  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.