il cisco si blocca con le extended acl... aiuto

[consultazione]

dunque sto provando ad impostare il cisco in modo da consentire ai pc in rete di poter andare solo sui siti http (e cioe' usare solo la porta 80 dell'http).

ho fatto:
conf t
int ethernet 0
ip access-group 110 in
ip access-group 120 out

poi ho fatto:
access-list 110 permit tcp host 192.168.0.2 any eq 80

e qui si blocca il router.

che devo fare?
dove sbaglio?

[TheIrish]

Ehm... in che senso si blocca? Sei collegato con il cavo console suppongo...

[consultazione]

sto collegato tramite telnet (operazioni troppo rischiose?)
si blocca nel senso non funziona piu' internet e nella sessione telnet se premo invio o altro non escono i nuovi prompt..

per farlo funzionare devo spegnere e riaccendere il cisco...

cmq ora ho fatto altre prove:

access-list 101 - (outgoing)
access-list 102 - (incoming)

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 80
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq 53
access-list 102 permit tcp any 192.168.0.0 0.0.0.255 established


int atm 0.1
ip access-group 101 out
ip access-group 102 in


cosi' il cisco non si blocca pero' internet non funziona sui client..
dove sbaglio?

[consultazione]

questa e' la configurazione.

internet funziona perche' ho disabilitato
ip access-group 101 out
ip access-group 102 in



ecco la conf:

Router#show running-config
Building configuration...

Current configuration : 1674 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxx
!
logging queue-limit 100
enable secret 5 xx
enable password xxx
!
ip subnet-zero
no ip source-route
ip domain name 191.it
ip name-server 151.99.0.100
ip name-server 151.99.125.1
!
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
no keepalive
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xxxxx 255.255.255.0
ip nat outside
pvc 8/35
ubr 128
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
ip nat inside source list 50 interface ATM0.1 overload
ip nat inside source static tcp 192.168.0.2 21 xxxxx 21 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
no ip http server
!
access-list 50 permit 192.168.0.0 0.0.0.255
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 102 permit tcp any 192.168.0.0 0.0.0.255 established
!
line con 0
exec-timeout 240 0
password xxx
login
stopbits 1
line vty 0 4
exec-timeout 240 0
password xxx
login
!
scheduler max-task-time 5000
!
end

[TheIrish]

Calma calma, c'è un'incongruenza.
Nel primo post affermi di applicare le acl all'ethernet, mentre nel secondo all'atm0.1. Qual è il vero?

[consultazione]

ho provato sia all'eth sia all'atm
ma non funziona

come si fa? ditemi voi..

[consultazione]

ho riconfigurato di nuovo usando il cavo console e ora funziona.

[TheIrish]

La questione è questa. Se la applichi all'ethernet è un discorso. Se la applichi invece all'atm0.1 e sei dietro il nat, non puoi discriminare gli indirizzi privati.
Per esempio:

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq domain
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain

Può andare bene sull'ethernet in verso IN ma non nell'ATM0.1 verso OUT perché già i pacchetti non conoscono 192.168.0.0