Ciao io ho sempre pensato che le acl su un interfaccia nel comando
ip access-group xxx in o out fossero legati al fatto che il pacchetto venga scartato prima o dopo essere processato dal router.
mi succede che avendo attivato il server dhcp su di un 1700 se sull'ethernet metto ip access-group 110 in il dhcp non funziona ma se metto ip access-group 110 out le acl non fanno il loro dovere ed essendo il ramp di una vpn le acl funzinano per chi cerca di raggiungere quella rete e non a quella rete in uscita.
non ci salto fuori!!!!
grazie in anticipo per gl eventuali consigli
alc sulla ethernet in o out???problemi col servizio dhcp
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
In e out indicano la direzione in cui transitano i dati.
Se i dati partono dalla lan ed entrano nel router, allora le acl che li processano sono sia ethernet0 in che (se hai un'ADSL) atm0.1 o dialer1 out.
In senso inverso, i dati che provengono da internet vengono processati sia da atm0.1 o dialer1 in che da ethernet0 out.
In altre parole, guarda la direzione dei dati come se tu fossi dentro il router.
Se avessi bisogno di informazioni + dettagliate, posta le tue ACL.
Se i dati partono dalla lan ed entrano nel router, allora le acl che li processano sono sia ethernet0 in che (se hai un'ADSL) atm0.1 o dialer1 out.
In senso inverso, i dati che provengono da internet vengono processati sia da atm0.1 o dialer1 in che da ethernet0 out.
In altre parole, guarda la direzione dei dati come se tu fossi dentro il router.
Se avessi bisogno di informazioni + dettagliate, posta le tue ACL.
-
pippero71
- n00b
- Messaggi: 12
- Iscritto il: mer 16 feb , 2005 10:17 am
ero convinto che fosse comunque il traffico verso internet.
se è così come posso fare per il dhcp che non mi rilascia gli ip se metti le acl sulla ethernet in?
la mia configurazione
interface FastEthernet0
ip address 10.6.205.254 255.255.255.0
ip access-group 109 out
ip nat inside
ip virtual-reassembly
speed auto
no cdp enable
....
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 443
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 444
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq www
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 22
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq pop3
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq domain
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq ftp
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq ftp-data
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq smtp
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 992
access-list 109 permit tcp 10.6.205.0 0.0.0.255 host 10.6.2.99 eq 1720
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 2001
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 2010
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5010
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5110
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5500
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5555
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5556
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5900
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 446 449
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 8470 8480
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 9470 9480
access-list 109 permit udp 10.6.205.0 0.0.0.255 any eq domain
access-list 109 permit udp 10.6.205.0 0.0.0.255 any eq isakmp
access-list 109 permit icmp any any echo-reply
access-list 109 permit icmp any any
se è così come posso fare per il dhcp che non mi rilascia gli ip se metti le acl sulla ethernet in?
la mia configurazione
interface FastEthernet0
ip address 10.6.205.254 255.255.255.0
ip access-group 109 out
ip nat inside
ip virtual-reassembly
speed auto
no cdp enable
....
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 443
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 444
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq www
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 22
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq pop3
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq telnet
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq domain
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq ftp
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq ftp-data
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq smtp
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 992
access-list 109 permit tcp 10.6.205.0 0.0.0.255 host 10.6.2.99 eq 1720
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 2001
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 2010
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5010
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5110
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5500
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5555
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5556
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any eq 5900
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 446 449
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 8470 8480
access-list 109 permit tcp 10.6.205.0 0.0.0.255 any range 9470 9480
access-list 109 permit udp 10.6.205.0 0.0.0.255 any eq domain
access-list 109 permit udp 10.6.205.0 0.0.0.255 any eq isakmp
access-list 109 permit icmp any any echo-reply
access-list 109 permit icmp any any
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Non prenderla come una domanda retorica, ma cos'è 'sta roba?
Ho come l'impressione che tu non abbia le idee chiarissime, quindi ti consiglio di dirmi esattamente cosa vuoi che quel router faccia, così magari ci lavoriamo un po' sopra, che dici?
Da quello che ho capito, quello che vuoi è che gli utenti accedano a internet tranquillamente (e da internet ricevano risposta) e che vengano distribuiti gli indirizzi tramite dhcp, giusto? Qualcos'altro?
In più ti consiglio di dare un'occhiata a questo post: http://www.ciscoforums.it/viewtopic.php?t=402
Ho come l'impressione che tu non abbia le idee chiarissime, quindi ti consiglio di dirmi esattamente cosa vuoi che quel router faccia, così magari ci lavoriamo un po' sopra, che dici?
Da quello che ho capito, quello che vuoi è che gli utenti accedano a internet tranquillamente (e da internet ricevano risposta) e che vengano distribuiti gli indirizzi tramite dhcp, giusto? Qualcos'altro?
In più ti consiglio di dare un'occhiata a questo post: http://www.ciscoforums.it/viewtopic.php?t=402
-
pippero71
- n00b
- Messaggi: 12
- Iscritto il: mer 16 feb , 2005 10:17 am
ovviamente ho messo solo la parte di configurazione che poteva chiarire....
il mio problema è che se su di un 1701 con ios
(C1700-K9O3SY7-M), Version 12.3(8)T6
su questo router ho configurato il server dhcp
se le acl sulla eth la metto in ai client non vengono rilasciati gli ip.
volevo sapere se ci potevano esere problemi con il servizio dhcp niente di più...
....
il mio problema è che se su di un 1701 con ios
(C1700-K9O3SY7-M), Version 12.3(8)T6
su questo router ho configurato il server dhcp
se le acl sulla eth la metto in ai client non vengono rilasciati gli ip.
volevo sapere se ci potevano esere problemi con il servizio dhcp niente di più...
....
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
che problemi dovebbero esserci? dico solo che quell'acl mi sembra... come dire, per nulla comprensibile
