Pagina 1 di 1
negare un host interno accesso ad internet esterno
Inviato: sab 24 mar , 2007 11:39 am
da lupinfreefly
Salve a tutti.
Vorrei negare l'accesso ad internet ad un host interno ma nn ci riesco.
ho provato a negare l'accesso con access-list 111 ke uso ma nn lo blocca.
Mi date un aiuto ragazzi ?? Ciao e g razie in anticipo
Inviato: sab 24 mar , 2007 11:47 am
da mondin.luca
Puoi postare uno sh run x capire emglio la tua configurazione x favore?
grazie.
ciao!
Inviato: sab 24 mar , 2007 1:06 pm
da [Dj][DMX]
Se non deve utilizzare altri servizi puoi semplicemente creare una acl di questo tipo:
access-list 101 deny ip host xxx.xxx.xxx.xxx any
e applicarla sulla ethernet input, in questo modo quell'host non avrà più accesso all'esterno, se invece deve fare altro e non vuoi semplicemente farlo navigare potresti fare una cosa del tipo:
access-list 101 deny tcp host xxx.xxx.xxx.xxx any eq 80
ecco la mia config.
Inviato: sab 24 mar , 2007 1:27 pm
da lupinfreefly
!
access-list 1 deny 192.168.0.125 log
access-list 111 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip any any
access-list 111 deny icmp any any echo
access-list 111 deny igmp any any
access-list 111 deny icmp any any echo-reply
access-list 111 deny tcp host 87.28.75.67 any log-input
access-list 111 deny ip host 192.168.0.125 any
dialer-list 1 protocol ip permit
no cdp run
Inviato: sab 24 mar , 2007 1:30 pm
da lupinfreefly
sostanzialmente vorrei ke potesse navigare in rete(quindi porta 80 aperta) ma ke nn potessse pero usare soft di download tipo edonkey, emule, ecc.
Inviato: sab 24 mar , 2007 1:47 pm
da lupinfreefly
ciao quando parli di applicare la acl nell' ethernet input cosa intendi ?
in ke modo devo applicarla ?
ciao e grazie ancora !:-)
Inviato: sab 24 mar , 2007 2:07 pm
da [Dj][DMX]
Cos'è quella COSA che hai postato là sopra?Se è la tua attuale acl è sbagliata sotto ogni punto di vista!!!
Posta uno show run.
Inviato: sab 24 mar , 2007 3:21 pm
da lupinfreefly
Current configuration : 3499 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname FreenetPowerRouter
!
enable secret 5 $1$Aq5p$wGcOT7wwY9duDYOmQD1RP.
enable password 7 135644415F5F577F78777E
!
username root password 7 00574055500858535C72
memory-size iomem 25
clock timezone Italy 1
ip subnet-zero
no ip source-route
!
!
no ip domain lookup
ip domain name ngi.it
ip name-server 88.149.128.12
!
ip audit info action alarm drop reset
ip audit attack action alarm drop reset
ip audit notify nr-director
ip audit notify log
ip audit po max-events 100
ip audit protected 192.168.0.0 to 192.168.0.254
ip audit name freenet info action alarm drop reset
ip audit name freenet attack action alarm drop reset
!
!
!
!
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
no fair-queue
!
interface FastEthernet0
ip address 192.168.0.240 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
interface Dialer0
description Freenetadsl 1280/512
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
no cdp enable
ppp pap sent-username XXXXXXXXXX password 7 046E3B5F5F0B6D6451
!
ip nat translation port-timeout tcp 4682 3600
ip nat translation port-timeout udp 4692 3600
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source static udp 192.168.0.110 8003 interface Dialer0 8003
ip nat inside source static udp 192.168.0.110 8002 interface Dialer0 8002
ip nat inside source static udp 192.168.0.109 8001 interface Dialer0 8001
ip nat inside source static udp 192.168.0.109 8000 interface Dialer0 8000
ip nat inside source static udp 192.168.0.109 5062 interface Dialer0 5062
ip nat inside source static udp 192.168.0.110 5063 interface Dialer0 5063
ip nat inside source static udp 192.168.0.179 4694 interface Dialer0 4694
ip nat inside source static tcp 192.168.0.179 4694 interface Dialer0 4694
ip nat inside source static udp 192.168.0.179 4693 interface Dialer0 4693
ip nat inside source static tcp 192.168.0.179 4693 interface Dialer0 4693
ip nat inside source static tcp 192.168.0.120 80 interface Dialer0 80
ip nat inside source static tcp 192.168.0.125 12975 interface Dialer0 12975
ip nat inside source static tcp 192.168.0.179 4682 interface Dialer0 4682
ip nat inside source static udp 192.168.0.179 4692 interface Dialer0 4692
ip nat inside source static udp 192.168.0.110 5061 interface Dialer0 5061
ip nat inside source static tcp 192.168.0.179 90 interface Dialer0 90
ip nat inside source static tcp 192.168.0.179 91 interface Dialer0 91
ip nat inside source static tcp 192.168.0.183 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.183 80 interface Dialer0 8880
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
access-list 1 deny 192.168.0.125 log
access-list 101 deny ip host 192.168.0.125 any
access-list 111 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 deny ip any any
access-list 111 deny icmp any any echo
access-list 111 deny igmp any any
access-list 111 deny icmp any any echo-reply
access-list 111 deny tcp host 87.28.75.67 any log-input
access-list 111 deny ip host 192.168.0.125 any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community freenet RO
snmp-server enable traps tty
!
line con 0
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 0 0
login local
!
end
Inviato: sab 24 mar , 2007 5:02 pm
da [Dj][DMX]
Ok, così com'è la configurazione sei senza firewall (ACL) per una serie di motivi:
l'acl segue un ordine di priorità delle regole: dalla prima all'ultima;se tu sulla prima hai permesso tutto dopo puoi negare, permettere, di nuovo negare, ma tanto come prima regola hai permesso tutto, quindi le altre non avranno alcun effetto.
Come seconda cosa anche se l'acl fosse fatta bene non l'hai applicata a nessuna interfaccia quindi è fine a se stessa!
Dai un'occhiata ad un po' di configurazioni sul forum per capire come dovresti riscriverle.