CiscoForums.it

Inviato: **gio 09 set , 2010 11:34 pm**

Il fine e' quello di bloccare logmein su alcuni pc/lan.
E' da escludere il

 match protocol http host "*logmein*"

in quanto la connessione e' HTTPS.
Armato di santa pazienza mi metto a spulciare gli IP; visto che ne sono abbastanza ,per facilitare la gestione,mi creo un object-group.
Creo la mia class-map cosi'

Codice: Seleziona tutto

class-map match-any LOGMEIN
 match access-group 124

la applico alla policy-map

Codice: Seleziona tutto

policy-map USERS_FILTER
 class LOGMEIN
   drop

che e' in out sull'interfaccia LAN e mi vado a creare la mia bella ACL.
Ovviamente la creo con object-group e la faccio cosi'

Codice: Seleziona tutto

access-list 124 permit ip object-group LOGMEIN host xxx.xxx.xxx.xxx

....morale tutto il traffico sulla porta LAN si blocca!!!!
Tolgo tutto al volo e mi metto a pensare...pensa che ti ripensa,rifaccio l'ACL senza object-group cioe'

Codice: Seleziona tutto

access-list 124 permit ip host logmeinhost host ipclan
access-list 124 permit ip host logmeinhost2 host ipclan
access-list 124 permit ip host logmeinhost3 host ipclan
.....

e magicamente funziona....
Ora mi chiedo...perche' invece di una riga di ACL ne devo fare una ventina??????

P.S. scavando sugli IP di logmein ho scoperto una cosa carina : gli IP dei Server che fanno da "proxy" per collegarsi ai vari PC sono di proprieta' di NOKIA!!! http://www.db.ripe.net/whois?form_type= ... rch=Search

Nessuno ne sa niente???

CiscoForums.it

BUG class-map con access-group e object-group????

BUG class-map con access-group e object-group????