Разрешить выход в инет выборочным IP адресам

[dvg_lab]

Нужна хитрая конфигурация, пока не понял как сделать.

С LAN в ISP нужно разрешить выход в инет только определенным IP адресам (скажем для 192.168.1.128/26 куска) я пытался сделать два правила в МСЭ на ISP интерфейс, первое пермит с указанного куска сети на любые адреса, второе запрет всего и вся. Но даже если оставить одно правило с запретом, то все равно пинги наружу идут. Это очень странно или я делаю что-то не так?

Далее для всего LAN нужно разрешить выход в инет только на определенные IP адреса...

Пока такая конструкция не работает как ожидается

access-list _WEBADMIN_ISP
    permit ip 0.0.0.0 0.0.0.0 178.248.xxx.xxx 255.255.255.255
    permit tcp 192.168.1.128 255.255.255.192 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Выход в инет в итоге есть у всех IP адресов и куда угодно.

[r13]

11 минуту назад, dvg_lab сказал:

Нужна хитрая конфигурация, пока не понял как сделать.

С LAN в ISP нужно разрешить выход в инет только определенным IP адресам (скажем для 192.168.1.128/26 куска) я пытался сделать два правила в МСЭ на ISP интерфейс, первое пермит с указанного куска сети на любые адреса, второе запрет всего и вся. Но даже если оставить одно правило с запретом, то все равно пинги наружу идут. Это очень странно или я делаю что-то не так?

Далее для всего LAN нужно разрешить выход в инет только на определенные IP адреса...

Пока такая конструкция не работает как ожидается

access-list _WEBADMIN_ISP
    permit ip 0.0.0.0 0.0.0.0 178.248.xxx.xxx 255.255.255.255
    permit tcp 192.168.1.128 255.255.255.192 0.0.0.0 0.0.0.0
    deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Выход в инет в итоге есть у всех IP адресов и куда угодно.

На Home сегменте правила настраивайте, на ISP пакеты приходят на внешний адрес.

ЗЫ если на ISP настраивать, еще нужно новый acl создавать, так как направление действия отлично от того что по умолчанию

https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном

 

Изменено 24 апреля, 2018 пользователем r13

[dvg_lab]

32 минуты назад, r13 сказал:

На Home сегменте правила настраивайте, на ISP пакеты приходят на внешний адрес.

ЗЫ если на ISP настраивать, еще нужно новый acl создавать, так как направление действия отлично от того что по умолчанию

https://help.keenetic.net/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном

 

Спасибо, да, на Home интерфейсе удалось собрать необходимую рабочую конструкцию и все заработало как надо.

Потом уже на ISP интерфейсе увидел что дефолтное правило действительно выглядит вот так 

ip access-group _WEBADMIN_ISP in
а по идее мне нужен был out.

PS: В качестве эксперимента поменял на out в консоли и тут же отвалился ))))