Buongiorno a tutti..
ri..richiedo un aiuto perchè non sono riuscito a scrivere un'acl decente penso..
Riassumo
1. un solo ip pubblico
2. Due pc dietro il router + uno strumento di misure elettriche che risponde alla porta 502
3. Nat statico verso 192.168.50.50 (indirizzo strumento) porta 502
4. Permesso di accesso a 192.168.50 porta 502 a solo alcuni indirizzi internet
Ho configurato il router come da conf allegata.. funziona tutto gli utenti navigano e io da remoto riesco a comunicare con il mio strumento...
Mi servirebbe un consiglio sulle ACL perchè mi sembra che lo strumento sia visibile a tutto il mondo internet, e io vorrei che fosse visibile solo da un host ben preciso cioè solo da me o meglio dal mio pubblico..
Con l'acl che ho scritto i pc sono abbastanza protetti???
Se qualche buon uopmo a qualche suggerimento per migliorare le mie acl.. Sarei molto grato
Ciao a tutti
837 Acl
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Ehm... direi che siamo completamente fuori strada 
Domanda di curiosità... veramente non hai bisogno di interfacce virtuali per far funzionare tutto l'apparato? Voglio dire, così com'è ora la configurazione, riesci a navigare? Sai, ATM puro è una cosa che mi capita raramente di vedere...
Seconda cosa, l'istruzione di NAT è stranamente cervellotica.
Mi spiego, il tuo indirizzo ip pubblico (quello indicato nel pool fiera) è quello assegnato ad ATM?
In tal caso, senza pool o affini, non ci converrebbe usare:
Che dici?
Seconda cosa, l'istruzione di nat potrebbe variare di conseguenza:
Poi, la ACL 110 è priva di senso perché un permit ip any any rende vano ogni sforzo, in quanto permette TUTTO. Ricordati che le ACL funzionano con metodo POSIZIONALE:
Esempio:
Secondo te, l'accesso alla porta 1000 viene consentito o no? Certo che viene consentito perché il permit ip any any viene PRIMA del deny.
Le ACL vengolo lette dalla cima fino al fondo e appena vengono verificate da un'istruzione, non continuano!
Ergo, prima diciamo cosa vogliamo, in ordine di restrizione decrescente e poi quello che non vogliamo.
Ammettiamo di volere un router che permetta agli utenti di navigare e che garantisca l'accesso server locato associato alla porta 502, solo a 90.90.90.90. Saranno consentiti in più gli icmp.
Analizziamo.
Prima riga: permetti traffico tcp proveniente da 90.90.90.90 verso qualsiasi indirizzo, porta 502. Qualsiasi indirizzo? Sì, tanto che ce ne frega? I dati vengono nattati staticamente.
Seconda/terza riga: permettiamo traffico udp dai due dns (porta domain) verso qualsiasi.
Quarta riga: permettiamo icmp
Quinta riga: permettiamo tutto il traffico TCP che sia stato richiesto dalla lan
Ci siamo?
Facci sapere
Domanda di curiosità... veramente non hai bisogno di interfacce virtuali per far funzionare tutto l'apparato? Voglio dire, così com'è ora la configurazione, riesci a navigare? Sai, ATM puro è una cosa che mi capita raramente di vedere...
Seconda cosa, l'istruzione di NAT è stranamente cervellotica.
Mi spiego, il tuo indirizzo ip pubblico (quello indicato nel pool fiera) è quello assegnato ad ATM?
In tal caso, senza pool o affini, non ci converrebbe usare:
Codice: Seleziona tutto
ip nat inside source list 1 interface ATM overloadSeconda cosa, l'istruzione di nat potrebbe variare di conseguenza:
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.50.50 502 interface ATM 502Esempio:
Codice: Seleziona tutto
permit ip any any
deny tcp any any eq 1000
Le ACL vengolo lette dalla cima fino al fondo e appena vengono verificate da un'istruzione, non continuano!
Ergo, prima diciamo cosa vogliamo, in ordine di restrizione decrescente e poi quello che non vogliamo.
Ammettiamo di volere un router che permetta agli utenti di navigare e che garantisca l'accesso server locato associato alla porta 502, solo a 90.90.90.90. Saranno consentiti in più gli icmp.
Codice: Seleziona tutto
access-list 110 permit tcp host 90.90.90.90 any eq 502
access-list 110 permit udp host <ip_dns_primario> eq domain any
access-list 110 permit udp host <ip_dns_secondario> eq domain any
access-list 110 permit icmp any any
access-list 110 permit tcp any any establishedPrima riga: permetti traffico tcp proveniente da 90.90.90.90 verso qualsiasi indirizzo, porta 502. Qualsiasi indirizzo? Sì, tanto che ce ne frega? I dati vengono nattati staticamente.
Seconda/terza riga: permettiamo traffico udp dai due dns (porta domain) verso qualsiasi.
Quarta riga: permettiamo icmp
Quinta riga: permettiamo tutto il traffico TCP che sia stato richiesto dalla lan
Ci siamo?
Facci sapere
