Короче говоря - сабж! :)

есть в нате цепочка:
perm ip 10.1.2.0 0.0.0.255 any

Как-бы сделать так, чтобы хост с определенным маком попадал в инет только на определенные порты.

Понятно, что mac - L2, a nat - L3. Но вот оочень хочется решить эту задачку. :)

Или может так:
mac привязан к физическому ethernet порту. Навесить L3 acl на этом порту.
Я правильно понимаю? :)

perm ip 10.1.2.0 0.0.0.255 any
ip acce ext nat
permit tcp host 1.2.3.4 any eq 80 443 25 110 ?

Не, не халяет...
В подсети много народу. А отдельный гоблин IPшники меняет. Вот в чём и суть. =)

на свиче привязать мак к ипу и включить для одного порта port-security?
сделать статическую арп-запись на роутере с мак-ip?

---------- Добавлено в 17:19 ---------- Предыдущее сообщение было написано в 17:16 ----------

ацл с участием l2+l3(+l4) не выйдет сделать, я такого не встречал

ммммм
Правда, не на циске, но реализовано:
если адрес не выдан по ДХЦП, то доступ в нет полностью блокируется..

киску не знаю, но вдруг у нее есть что-то подобное??

на свиче привязать мак к ипу и включить для одного порта port-security?
сделать статическую арп-запись на роутере с мак-ip?
ацл с участием l2+l3(+l4) не выйдет сделать, я такого не встречал

Мак к ипу привязать через DHCP? Или в арп таблице статическую запись сделать? А что будет если ип сменится?

А мак-акл в моём случае не подойдёт.

Мне надо как бе так:

perm ip 10.0.0.0 0.255.255.255 ip 10.0.0.0 0.255.255.255
deny tcp 10.0.0.0 0.255.255.255 tcp eq 3389
deny udp 10.0.0.0 0.255.255.255 tcp eq 3389
deny ip 10.0.0.0 0.255.255.255 any

т.е. чтоб локаль для него была доступна, кроме определенных сервисов инета

попробую ковырять service policy на интерфейсе свитча. По идее должно сработать.

А отдельный гоблин IPшники меняет.
дать в бубен и всего делов. вынести в отдельный вилан - пусть хоть обменяется
И вообще - куда смотрит ваша СБ?

дать в бубен и всего делов. вынести в отдельный вилан - пусть хоть обменяется
И вообще - куда смотрит ваша СБ?
Витя! не бузи!
тут просто мальенькая внутренняя разборочка. всего делов та. =)

Что значит не бузи? ВСе так и начинается, с маленькой внутренней разборочки. Сегодня они маки переписывают, завтра начнут в одноклассниках сидеть круглосуточно. Надо бить сразу.

Витя! не бузи!
тут просто мальенькая внутренняя разборочка. всего делов та. =)
Миш, при наличии прав на смену айпи - сменить мак - как два байта об асфальт - и? Какие ваши действия?

попробуй таки l3 лист на порт каталиста поставить - я не помню на какой именно модели и IOS-е, но в одном хитрожопом банке я такое видел.

---------- Добавлено в 18:22 ---------- Предыдущее сообщение было написано в 18:10 ----------

Это технически. А про организационную часть тебе уже мужчины рассказали - по голове надо стукнуть.

А не обязательно мужчины. Милая и красивая девушка по кличке Елена вполне ко мне могла прийти со словами "вали свое писи, дай винт подключить, лило перепрописать" И по башке уродам в 305-ой она отвешивала - только в путь.
Да и супруга моя очень милая и нежная. Они когда с Ленкой с четвертого этажа кооперируются - тихий ужас, студентам впору под столы забираться. И ведь не пожаловаться. Стыдно рассказывать, что дамы подзатыльников навесили ;).

Миш, при наличии прав на смену айпи - сменить мак - как два байта об асфальт - и? Какие ваши действия?
Я просил не морально-этическое решение, а техническое. Не отклоняйтесь от темы, коллеги.

каталист какой?

3560/3750

:moraler:3560/3750
швер мы телепатировать должны?

3560/3750
стопудово - вешаешь на порт ACL.
Или лучше - полиси, где трафик идущий с определённых хостов режется до 16кбит/с

дотваникс