Deny http for enkelte brugere

access-list fromInside deny tcp host xxx.xxx.xxx.xxx any eq http
access-list fromInside permit ip any any
access-group fromInside in interface inside

Med dette giver du lov til alt trafik undtagen http trafik for maskine xxx

kanon. men hva så et helt segment, kan det lade sig gøre at deny f.eks. 192.168.1.0 synes ikke umiddelbart det virker???

access-list fromInside deny tcp 192.168.1.0 255.255.255.0 any eq http
access-list fromInside permit ip any any
access-group fromInside in interface inside

Når der er tale om en enkelt host bruger man "host", men i princippet kunne man godt have skrevet 255.255.255.255 som maske istedet. Det er samme som "any" som betyder 0.0.0.0 0.0.0.0.

Det er dog kun på en Pix at man bruger subnetmaske i access-lister på en cisco box. En Cisco router eller switch bruger wildcards istedet for subnetmasker. Dvs 255.255.255.0 på en Pix skrives 0.0.0.255 på en Cisco router.

Det virker bare... Og så lige et spørgsmål til, kan man få PIX´en til at sende en meddelse ud til brugeren som fortæller ham mere præcist at vedkommende ikke har tilladselse til at gå på internettet.

Nej det kan du ikke. Så skal du have en server eller lign op.

okay, jeg takker.

Selv tak, iøvrigt så er www.cisco.com en rigtig god side at finde tips og tricks til konfiguration af cisco udstyr. Hvis man kigger længe nok kan man finde rigtig gode vejledninger og forklaringer. :)