ACL per filtrare il traffico di un host, si può fare?
Inviato: mar 06 dic , 2016 11:38 am
Dopo una lunga assenza rieccomi.. Buongiorno a tutti
desideravo porvi un quesito, ho un router Cisco 867VAE (non sec k9) ed avrei l'esigenza tramite delle acl o altro comando di restringere il traffico di un solo ip connesso su una delle 4 porte FastEthernet
in pratica, il router cisco ha ip locale 192.168.0.220 ed è connesso ad internet
sulla porta FastEthernet0 ho collegato un airport- express per una rete guest configurato in nat-dhcp con ip locale 192.168.0.230
quindi, la mappa di rete è la seguente:
(device ospite 172.16.0.X tramite dhcp airport) NAT-> (Ip locale airport dove esce tutto il traffico nattato 192.168.0.230) -> (router cisco 192.168.0.220) -> (internet)
in questo modo tutti i dispositivi connessi tramite dhcp dell'airport 172.16.x vengono nattati su 192.168.0.230
se dai pc della classe 192.168.0.x provo a raggiungere i dispositivi collegati in wifi 172.16.x naturalmente non li ragiungo, ma se faccio il contrario dai dispositivi wifi 172.16.x al 192.168.x si
la domanda è posso fare in modo che l'ip dell'airport dove passa tutto il traffico nattato (192.168.0.230) veda solo l'ip del router 192.168.0.220 (che mi serve per navigare) e bloccare tutto il resto
avevo pensato di fare cosi ma non so se posso mettere una acl sull'interfaccia fisica
desideravo porvi un quesito, ho un router Cisco 867VAE (non sec k9) ed avrei l'esigenza tramite delle acl o altro comando di restringere il traffico di un solo ip connesso su una delle 4 porte FastEthernet
in pratica, il router cisco ha ip locale 192.168.0.220 ed è connesso ad internet
sulla porta FastEthernet0 ho collegato un airport- express per una rete guest configurato in nat-dhcp con ip locale 192.168.0.230
quindi, la mappa di rete è la seguente:
(device ospite 172.16.0.X tramite dhcp airport) NAT-> (Ip locale airport dove esce tutto il traffico nattato 192.168.0.230) -> (router cisco 192.168.0.220) -> (internet)
in questo modo tutti i dispositivi connessi tramite dhcp dell'airport 172.16.x vengono nattati su 192.168.0.230
se dai pc della classe 192.168.0.x provo a raggiungere i dispositivi collegati in wifi 172.16.x naturalmente non li ragiungo, ma se faccio il contrario dai dispositivi wifi 172.16.x al 192.168.x si
la domanda è posso fare in modo che l'ip dell'airport dove passa tutto il traffico nattato (192.168.0.230) veda solo l'ip del router 192.168.0.220 (che mi serve per navigare) e bloccare tutto il resto
avevo pensato di fare cosi ma non so se posso mettere una acl sull'interfaccia fisica
ip access-list extended ap-ospiti
deny ip 192.168.0.0 255.255.255.0 192.168.0.255 255.255.255.0
permit ip 192.168.1.220 255.255.255.0 any
int FastEthernet0
ip access-group ap-ospiti in