الأعزاء

محتاج أعمل Access list لمنع النت عن البعض في الشبكة
الشبكة فيها راوتر سيسكو 2851
عليه interface ethernet e0/0.1
له ip 10.10.32.1

الشبكة عبارة عن
10.10.32.0
255.255.252.0

عايز أقفل النت ( والنت فقط لأنه فيه ports تانية ضروريه خاصة بال data base وال dns وال dhcp) على الجميع ماعدا عدد 20 مستخدم
من 10.10.32.2
إلى 10.10.32.22
والباقيين يكون مفتوح لهم كل حاجة ماعدا النت

أريد الكود . وعلى أي interface يوضع وهل يكون inbound وللا يكون outbound
أرجو المساعدة

اخي الكريم
كيف يخرج الجميع للانترنت ؟؟ نحتاج توضيح اكثر للشبكة لديك
وعامة اذا كان من خلال هذا الروتر و الNAT فانت تحتاج الي ان تضبط ال Access list الخاصة بال NAT وذلك بعمل permit للمسموح لهم فقط
اما اذا كان الخروج للانترنت من خلال روتر اخر فيكون عليه هو هذا الامر باستخدام ال NAT ايضا وليس علي الراوتر الذي تحدثت عنه

access-list 1 deny 10.10.32.16 0.0.0.15
on interface fa0/0.1 or in interface fa0/0 out bounded
دة علشان تمنع دخولهم على النت لان دة مش بيتعملة nat
جربها و ان شاء الله تشتغل ارجو تقولى عاملت اية بعد ما تجرب

بالفعل نحتاج توضيح اكثر

ولكن هذه محاوله من طالب علم
access-list 100 permit tcp 10.10.32.0 0.0.0.15 gt 1023 any eq 80
access-list 100 deny tcp any gt 1023 any eq 80
access-list 100 permit ip any any

ثم تضعها inbound على الـ interface التي تربط الروتر بالانترنت
طبعاً هذه access-list سوف تسمح للاجهزه من 10.10.32.1 الى 10.10.32.31 يعني ثلاثين جهاز بالاتصال بصفحات الانترنت.ولكن لن تمنع الاجهزه من الاتصال بـ ftp server او غيرها من البرامج التي لا تعتمد على port 80 على شبكة الانترنت.

والله اعلم

اخي الكريم من فضلك ارسم النتورك لكي يتمكن أخوانك من التخيل الجيد للشبكة و من ثم يستطيعون مساعدتك
و هل كل ما تريد منعه هو التصفح فقط و تحميل الاشياء يعني مش يفتح www فهذه سهلة جدا
router(config)#access-list 100 deny any any eq 80
لكن انا ما قرات بقية كلامك للاخر لاني عن نفسي لا اتخيل نتورك غير لما تكون مرسومة أمامي

تمام فلا يا اخ محمد انا محتاج ارى النتورك علشان يسهل علينا الاجابه

الأعزاء
شكرا لردودكم
وأسف على التأخر في الرد
لكن احتدت أعمل download لبرنامج Concept drow علشان أرسم بيه تصميم الشبكة

وها هو التصميم مرسوما
https://i35.tinypic.com/nvw3g8.jpg

كنت عايز أقول إن كل الناس عندها obtainan IP adress Automatically
وكل الناس شايفة النت
ال DHCP موجود على راوتر سيسكو
ال DNS و ال domain controller على microsoft windows server 2003
يوجد في الشبكة Data Base Server

حاولت أعمل Access List على النحو التالي :
ip access list extended aclname
deny tcp host 10.10.32.2 any eq 80
deny tcp host 10.10.32.3 any eq 80
deny tcp host 10.10.32.4 any eq 80
deny tcp host 10.10.32.5 any eq 80
permit tcp any any
وشغلتها على ال interface e0/0.1
inbound

ولكن النتايج غير طبيعية حيث يغلق علي المجموعة اللي مانعها من النت يغلق عليها بقية الPorts فيفقدوا الاتصال بال DHCP وال Data Base Server[/B][/B]

اخي الكريم الامر الاخير غيره الي الاتي

permit ip any any
معظم ما قلت من بورتات تستخدم ال udp
فبالامر الذي استخدمته انت سمح فقط الي tcp والامر الاخير الموجود في كل acl وهو deny all سيمنع الباقي لذا فسيمنع ال udp وهو ما حدث معك

السلام عليكم ورحمه الله وبركاته

قم بتكوين EXTENDED ACCESS-LIST

Router(config)#ip access-list extended ACL

Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80

Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps

Router(config-ext-nacl)#permit tcp any any eq 53

Router(config-ext-nacl)#permit udp any any eq 53

وقم بتطبيق ACL على الانترفيس e0/0.1 على الاتجاه inbound للروتر جهة اليمين فى رسمتك

وجرب وان شاء الله خير

وبالتوفيق ان شاء الله ،،،

اخي الكريم الامر الاخير غيره الي الاتي

permit ip any any


الحل كما ذكر

شكرا للأخوه على ردودهم المعتبرة
لكن قبل ما اجرب
كنت محتاج الأخ FrozenEyes يفهمني ليه 10.10.32.2 0.0.0.20 اللي في الأمر
Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80

وكمان ليه 0.0.0.3 وإشمعنى bootps اللي في الأمر
Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps

مع العلم إني عايز أقفل النت على الجميع ما عدا من 10.10.32.2 إلى 10.10.32.22 على الراوتر الأول و ال subnet mask عندي هو 255.255.252.0
وكمان أقفل النت على الجميع ما عدا من 10.10.64.2 إلى 10.10.64.12 على الراوتر التاني و ال subnet mask عندي هو 255.255.252.0


وأشكركم

جربت النهارده ولوقت طويل جدا كل الحلول التي طرحت وغيرها كتير.
ولكن.............................
النتايج كانت خلاف المتوقع
يعني فين المشكلة لما أعمل :

permit tcp host 10.10.32.10 any
permit udp host 10.10.32.10 any
permit icmp host 10.10.32.10 any
permit ip host 10.10.32.10 any

permit tcp any any neq 80

يعني سمحت لماكينة محددة بكل حاجة بما في ذلك النت ، وسمحت لكل الباقيين كل حاجة ماعدا النت

إيه الغلط في كده ؟؟؟؟؟؟

وجربتها على واحد واحد من ال (interfaces) في كل من ال (in) و ال (out) برده مافيش فايده

حد عنه رد ؟

هو الموضوع بسيط ليه كم الاوامر ده
اتفضل اللي المفروض تكتبه على الراوتر من جهة اليمين وهو غير متصل بالموديم مباشرة:


Router(config)#ip access-list 110 deny tcp 10.10.32.2 0.0.3.255 any eq 80
Router(config)#ip access-list 110 premit any any
Router(config)#int e 0/0.1
Router(config-if)# ip access-group 110 in

وزد من السطر الاول زي ما انت عايز غير بس رقم البورت بباقي البورتات لخدمات النت التي تريد منعها غير 80 اللي هو www
وطبعا ممكن تمنع مجموعة خدمات مره واحدة باستخدام الخصائص البديلة ل eq مثل gt , lt وهكذا