BUG class-map con access-group e object-group????

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Il fine e' quello di bloccare logmein su alcuni pc/lan.
E' da escludere il

Codice: Seleziona tutto

 match protocol http host "*logmein*"
in quanto la connessione e' HTTPS.
Armato di santa pazienza mi metto a spulciare gli IP; visto che ne sono abbastanza ,per facilitare la gestione,mi creo un object-group.
Creo la mia class-map cosi'

Codice: Seleziona tutto

class-map match-any LOGMEIN
 match access-group 124
la applico alla policy-map

Codice: Seleziona tutto

policy-map USERS_FILTER
 class LOGMEIN
   drop
che e' in out sull'interfaccia LAN e mi vado a creare la mia bella ACL.
Ovviamente la creo con object-group e la faccio cosi'

Codice: Seleziona tutto

access-list 124 permit ip object-group LOGMEIN host xxx.xxx.xxx.xxx
....morale tutto il traffico sulla porta LAN si blocca!!!!
Tolgo tutto al volo e mi metto a pensare...pensa che ti ripensa,rifaccio l'ACL senza object-group cioe'

Codice: Seleziona tutto

access-list 124 permit ip host logmeinhost host ipclan
access-list 124 permit ip host logmeinhost2 host ipclan
access-list 124 permit ip host logmeinhost3 host ipclan
.....
e magicamente funziona....
Ora mi chiedo...perche' invece di una riga di ACL ne devo fare una ventina??????

P.S. scavando sugli IP di logmein ho scoperto una cosa carina : gli IP dei Server che fanno da "proxy" per collegarsi ai vari PC sono di proprieta' di NOKIA!!! http://www.db.ripe.net/whois?form_type= ... rch=Search

Nessuno ne sa niente???
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Rispondi

Torna a “Configurazioni”