• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cấm IP máy ra internet bằng PIX 506

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cấm IP máy ra internet bằng PIX 506

    Chào các sư huynh :60:
    Em đang thử làm 1 access-list chặn các máy trong mạng không cho ra xem internet như sau:
    #access-list CAMNET deny tcp any any eq www
    #access-group CAMNET in interface inside

    Em muốn set 1 dãy IP từ 192.168.1.1-192.168.1.10 được vào internet theo câu lệnh sau
    #access-list CAMNET permit tcp 192.168.1.1-192.168.1.10 any eq www

    Nhưng nó báo sai hoài.
    Nếu chỉ cho phép 1 host ra thì em làm được rồi. Các huynh xem giúp với.
    Last edited by ruri; 31-03-2010, 03:52 PM.
    Tags: None
  • #2
    Có ai giúp với. Ai làm ơn chỉ giúp em viết access-list permit range IP trong PIX 506 với.

    Comment

    • #3
      Originally posted by ruri View Post
      Chào các sư huynh :60:
      Em đang thử làm 1 access-list chặn các máy trong mạng không cho ra xem internet như sau:
      #access-list CAMNET deny tcp any any eq www
      #access-group CAMNET in interface inside

      Em muốn set 1 dãy IP từ 192.168.1.1-192.168.1.10 được vào internet theo câu lệnh sau
      #access-list CAMNET permit tcp 192.168.1.1-192.168.1.10 any eq www

      Nhưng nó báo sai hoài.
      Nếu chỉ cho phép 1 host ra thì em làm được rồi. Các huynh xem giúp với.
      Bạn ơi,bạn thử làm theo cách này coi,như trên thì bạn cấm 10 IP,bạn chia lại SM rồi cấm như bình thường.
      Anh chị nào bit thì giải thích thêm cho bạn đó đi.
      MCSA,CCNA

      Comment

      • #4
        Thứ tự bạn khai báo các câu lệnh trong access-list là chưa chính xác.

        Bạn xóa access list đó và tạo lại theo đúng thứ tự:


        #access-list CAMNET permit tcp 192.168.1.1-192.168.1.10 any eq www
        #access-list CAMNET deny tcp any any eq www

        Bạn thử lại và báo kết quả cho mọi người nha.
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment

        • #5
          Originally posted by dangquangminh View Post
          Thứ tự bạn khai báo các câu lệnh trong access-list là chưa chính xác.

          Bạn xóa access list đó và tạo lại theo đúng thứ tự:


          #access-list CAMNET permit tcp 192.168.1.1-192.168.1.10 any eq www
          #access-list CAMNET deny tcp any any eq www

          Bạn thử lại và báo kết quả cho mọi người nha.
          Em làm thử cách đó rồi mà không được đâu. Nó báo lại vầy nè :

          ERROR: invalid IP address 10.155.2.30-10.155.2.60
          Usage: [no] access-list compiled
          [no] access-list deny-flow-max <n>
          [no] access-list alert-interval <secs>
          [no] access-list <id> object-group-search
          [no] access-list <id> compiled
          [no] access-list <id> [line <line-num>] remark <text>
          [no] access-list <id> [line <line-num>] deny|permit
          <protocol>|object-group <protocol_obj_grp_id>
          <sip> <smask> | interface <if_name> | object-group <network_obj_grp_id>
          [<operator> <port> [<port>] | object-group <service_obj_grp_id>]
          <dip> <dmask> | interface <if_name> | object-group <network_obj_grp_id>
          [<operator> <port> [<port>] | object-group <service_obj_grp_id>]
          [log [disable|default] | [<level>] [interval <secs>]]
          [no] access-list <id> [line <line-num>] deny|permit icmp
          <sip> <smask> | interface <if_name> | object-group <network_obj_grp_id>
          <dip> <dmask> | interface <if_name> | object-group <network_obj_grp_id>
          [<icmp_type> | object-group <icmp_type_obj_grp_id>]
          [log [disable|default] | [<level>] [interval <secs>]]
          Restricted ACLs for route-map use:
          [no] access-list <id> deny|permit {any | <prefix> <mask> | host <address>}

          Comment

          • #6
            trong câu lệnh ACL bạn thử giới hạn ip source lên /28,192.168.1.0 255.255.255.240,
            Hugo

            Comment

            Previous template Next
            Working...
            X