cisco3550 switch'in x no.lu portuna ip verme ve bu ip'yi başka bir ip'ye erişi. engel

[mstf26]

Merhaba,
Soru; Cisco3550 switch üzerindeki bir porta ip adresi vererek bu ip'yi başka bir ip'ye erişimini engellemek istiyorum.

Amaç; şirket dışındaki bir firmaya, şirket yazılımımı kullanabilmesi için switch'mizin x no.lu ucana bağlı bir data hattı verdik. Fakat bu şirketin, bizim ip'mizi kullanarak internete çıkışlarını engellemek istiyoruz. Bu amaçla da switch'e bağlı olan uca bir ip vermeyi ve bu ip'den gelen isteklerin intenete girişini engellemek için Default Gateway için kullandığımız ip'ye erişimini engellemek istiyoruz. Böylelikle switch'in o portuna bağlı bilgisayarların internete çıkışını engellemiş olacağız.

Yöntem; ....

Yardımcı olursanız sevinirim.
teşekkürler...

[yaman]

L3 IOS tercih edilir.

switch3550>en
switch3550>conf t
switch3550(config)#default interface x/x ( ***DIKKAT*** bu command interface sifirlar bence once interface bir sisfirla)
switch3550(config-if)#no switchport( bu sekilde port routing kapasitesine gecer)
switch3550(config-if)#ip add x.x.x.x (mask) x.x.x.x (karsi tarafla uygun bir ip address subnet mask)
switch3550(config-if)#exit

Ondan sonra bir ACL yaz mesela

ip access-list extended (ve burayada ACL'i tanilayici bir isim yaz)
deny ip x.x.x.x(karsi sirketle kulaninlan net veya subnet ip'si) x.x.x.x(karsi sirketle kulanilan makse ama wildcard olarak yazmalisin yane maske 255.255.255.0'sa 0.0.0.255 yane maskin tersi) any eq 80 (TCP port 80 ve 8080 bilinen internet portlaridir)
deny ip x.x.x.x x.x.x.x any eq 8080
permit ip any any.

Ondan sonrada bunu porta ekle
ip access-group (ve burayada yukaruida yazmis oldugun ACL'i tanilayici isimi aynen yaz) inbound

Mesale sonuc soyle olabilir:

ip access-list extended INTERNET_FILTER
deny ip 192.168.1.0 0.0.0.255 any eq 80
deny ip 192.168.1.0 0.0.0.255 any eq 8080
permit ip any any
exit
!
default interface fa0/12
interface fa0/12
ip add 192.168.1.1 255.255.255.0
ip access-group INTERNET_FILTER in
exit

Bu yukaridakileri kafadan yazdim gorunurde yanlis yok ama varsa lutfen hem duzeltin beni. Alternatif olarak bu islemi default vlan uzerindende yapabilirsiniz.

Merhaba,
yaman arkadaşımız konuyu çok ama çok güzel açıklamış. Bende şunu ekleyebilirim. O interface'a girin ip verirken dikkat edin karşının da ip adresi aynı subnette olmalıdır. Bir de kural listesi şöyle olabilir;

Diyelim ki karşı ucun ip adresi 192.168.1.2 sizin interface ip adresi de 198.162.1.1
O zaman access-list i şu şekilde ayarlayın:

ip access-list extended INTERNET_FILTER
deny ip 192.168.1.2 0.0.0.0 any eq 80
deny ip 192.168.1.2 0.0.0.0 any eq 8080
permit ip any any
exit

Bu sayede sadece 192.168.1.2 yani karşı ucun 80 trafiği engellenmiş olur. Ya da vlan yaparak uygulayabilirsiniz.

#vlan database
# vlan 2 name INTERNET_FILTER
#end
#conf t
#int vlan 2
#ip address 192.168.1.1 255.255.255.0
#ip access-group INTERNET_FILTER in
#exit
#int gigabitethernet0/1
#switchport mode access
#switchport access vlan 2
#exit
#ip access-list extended INTERNET_FILTER
#deny ip 192.168.1.2 0.0.0.0 any eq 80
#deny ip 192.168.1.2 0.0.0.0 any eq 8080
#permit ip any any
#end
#wri mem

Burada VLAN 2 diye bir VLAN oluşturmuş oluyorsunuz. Bu VLAN'a bir interface'i (örn: gigabitethernet0/1) atıyorsunuz ve bu VLAN için access-group tanımlayıp o access-list in kurallarında o VLAN'da olacak 192.168.1.2 ip adresi için 80 ve 8080 erişimini engellemiş oluyorsunuz.