Vorrei impostare una ACL per l'apertura della porta 80 da un certo indirizzo ip esterno (lato pubblico)
La porta 80 è nattata su un ip locale, e il nat funziona correttamente (già provato).
Come faccio?
Grazie
Simone.
DNAT Cisco 877
Moderatore: Federico.Lagni
-
vassiskansa
- n00b
- Messaggi: 10
- Iscritto il: mar 27 ago , 2013 10:59 am
Salve a tutti, di nuovo...
Vorrei impostare una ACL per l'apertura della porta 80 da un certo indirizzo ip esterno (lato pubblico)
La porta 80 è nattata su un ip locale, e il nat funziona correttamente (già provato).
Come faccio?
Grazie
Simone.
Vorrei impostare una ACL per l'apertura della porta 80 da un certo indirizzo ip esterno (lato pubblico)
La porta 80 è nattata su un ip locale, e il nat funziona correttamente (già provato).
Come faccio?
Grazie
Simone.
-
Braveheart84
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
spiegati meglio: vuoi che un host esterno possa accedere alla porta 80?
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
nalla acl deve essere presente una entry del tipo:
dove X:X:X:X è l'ip pubblico con cui ti presenti e Y a seconda che usi un ip dinamico o statico sull' interfaccia del router sarà o any o l'ip dell'intefaccia.
L'acl va applicata in ingresso all'interfaccia pubblica del router
Codice: Seleziona tutto
permit tcp host X:X:X:X eq 80 YL'acl va applicata in ingresso all'interfaccia pubblica del router
Ultima modifica di scolpi il gio 29 ago , 2013 2:57 pm, modificato 1 volta in totale.
CCNA Security,CCDP, CCNP R&S
-
vassiskansa
- n00b
- Messaggi: 10
- Iscritto il: mar 27 ago , 2013 10:59 am
Si, hai capito benissimo.Braveheart84 ha scritto:spiegati meglio: vuoi che un host esterno possa accedere alla porta 80?
Purtroppo non sono molto ferrato con le ACL. Potresti farmi un'esempio esplicativo? Grazie.scolpi ha scritto:nalla acl deve essere presente una entry del tipo:
dove X:X:X:X è l'ip pubblico con cui ti resenti e Y a seconda che usi un ip dinamico o stati sull'ainterfaccia del router sarà o any a l'ip dell'intefaccia.Codice: Seleziona tutto
permit tcp host X:X:X:X eq 80 Y
L'acl va applicata in ingresso all'interfaccia pubblica del router
-
Braveheart84
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
allora l'host esterno ha un indirizzo pubblico con cui si presenta, che deve comunicare con l'host interno: se quest'ultimo ha un altro ip pubblico che poi è nattato con quell'interno, metti: permit tcp host "indirizzo ip host esterno" eq 80 host "indirizzo pubblico host di destinazione", altrimenti al posto dell'host di destinazione metti any.
L'acl poi va applicata sull'interfaccia dove entra il traffco esterno: quindi vai sull'interfaccia, e digiti "ip access-group "numero acl" (che deve essere sopra i 100) in".
Però è anche vero che se vuoi altro traffico esterno raggiunga altri host, rischi di vedert il tutto bloccato per via del deny implicito dell'acl, quindi dovresti aggiugere un "permit ip any any".
Ma per come la vedo io, un semplice portfowarding potrebbe essere sufficiente per raggiungere il tuo scopo senza utilizzare l'ACL. Ovviamente attendo altri pareri
L'acl poi va applicata sull'interfaccia dove entra il traffco esterno: quindi vai sull'interfaccia, e digiti "ip access-group "numero acl" (che deve essere sopra i 100) in".
Però è anche vero che se vuoi altro traffico esterno raggiunga altri host, rischi di vedert il tutto bloccato per via del deny implicito dell'acl, quindi dovresti aggiugere un "permit ip any any".
Ma per come la vedo io, un semplice portfowarding potrebbe essere sufficiente per raggiungere il tuo scopo senza utilizzare l'ACL. Ovviamente attendo altri pareri
-
vassiskansa
- n00b
- Messaggi: 10
- Iscritto il: mar 27 ago , 2013 10:59 am
Anche io sono del tuo stesso parere, che un port forwarding faccia tutto quello che cerco, il problema è che se qualcuno mi buca la password di amministrazione del PBX VoIP su quel dispositivo potrebbe essere una cosa sconveniente... Quindi vorrei blindarla solo all'indirizzo ip del mio ufficio così da evitare tutti i vari fastidi del caso...Braveheart84 ha scritto:allora l'host esterno ha un indirizzo pubblico con cui si presenta, che deve comunicare con l'host interno: se quest'ultimo ha un altro ip pubblico che poi è nattato con quell'interno, metti: permit tcp host "indirizzo ip host esterno" eq 80 host "indirizzo pubblico host di destinazione", altrimenti al posto dell'host di destinazione metti any.
L'acl poi va applicata sull'interfaccia dove entra il traffco esterno: quindi vai sull'interfaccia, e digiti "ip access-group "numero acl" (che deve essere sopra i 100) in".
Però è anche vero che se vuoi altro traffico esterno raggiunga altri host, rischi di vedert il tutto bloccato per via del deny implicito dell'acl, quindi dovresti aggiugere un "permit ip any any".
Ma per come la vedo io, un semplice portfowarding potrebbe essere sufficiente per raggiungere il tuo scopo senza utilizzare l'ACL. Ovviamente attendo altri pareri
-
Braveheart84
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
allora se hai questi timori, l'ACL può andar bene. Tu vuoi che solo un host esterno possa raggiungere quello interno?
cmq per le password, basta usare parole difficili da trovare e, sopratutto, cambiarle spesso.
cmq per le password, basta usare parole difficili da trovare e, sopratutto, cambiarle spesso.
