CiscoForums.it

Inviato: **sab 05 mag , 2007 12:41 pm**

Ciao a tutti,
sono disperato e sono in cerca di aiuto perchè ho un problema di configurazione di un acl per un router 877. L'877 in questione dovrebbe permettere gestione remota, navigazione su internet, rifiutare attacchi di tipo comune,bloccare ftp e tftp messenger e netmeeting, e permettere icmp.
Ho creato la lista ma nel momento in cui la applico sulla atm0.1 perdo la facoltà di navigare. Da una prima analisi sembra che ci sia qualche servizio che non ho permesso che è necessario per la navigazione. Qualcuno può darmi una mano, per favore?
Quella che segue è l'acl.

access-list 101 remark "Acl per limitazione icmp"
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any source-quench
access-list 101 deny icmp any any
access-list 101 remark "Acl per richieste dns e wins"
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 permit udp any any eq 42
access-list 101 permit tcp any any eq 42
access-list 101 permit udp any any eq 67
access-list 101 permit udp any any eq 137
access-list 101 permit udp any any eq 138
access-list 101 permit tcp any any eq 139
access-list 101 permit tcp any any eq 445
access-list 101 remark "Acl per blocco ftp e tftp"
access-list 101 deny tcp any any eq ftp-data
access-list 101 remark "Acl per permettere navigazione web"
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 101 remark "Acl per permettere gestione remota"
access-list 101 permit ip host XX.XX.XX.XX any
access-list 101 permit ip host YY.YY.YY.YY any
access-list 101 remark "Acl per Gtalk"
access-list 101 permit tcp any any eq 5222
access-list 101 permit tcp any any eq 5223
access-list 101 remark "Acl per permettere Vpn"
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq non500-isakmp
access-list 101 permit udp any eq isakmp any
access-list 101 permit udp any eq non500-isakmp any
access-list 101 remark "Acl per blocco msn e netmeeting"
access-list 101 deny tcp any any eq 1720
access-list 101 deny tcp any any eq 1503
access-list 101 deny tcp any any range 6891 6900
access-list 101 deny tcp any any eq 1863
access-list 101 deny udp any any eq 1863
access-list 101 deny udp any any eq 5190
access-list 101 deny udp any any eq 6901
access-list 101 deny tcp any any eq 6901
access-list 101 remark "Acl per attacchi"
access-list 101 deny tcp any any eq 135
access-list 101 deny udp any any eq 135
access-list 101 deny tcp any any eq 2049
access-list 101 deny udp any any eq 2049
access-list 101 deny tcp any any range 6000 6001
access-list 101 deny udp any any eq 1433
access-list 101 deny udp any any eq 1434
access-list 101 deny udp any any eq 5554
access-list 101 deny udp any any eq 9996
access-list 101 deny udp any any eq 113
access-list 101 deny udp any any eq 3067
access-list 101 deny udp any any eq 3117
access-list 101 deny ip any any

Grazie in anticipo per il vostro aiuto.

Inviato: **sab 05 mag , 2007 1:04 pm**

Lo sai come funziona una connessione tcp con un server web?
Viene negoziata una porta "a caso" su cui inviarti i dati per farla breve....!
Se tu metti in fondo un deny ip any any è chiaro che non navighi più!
Un consiglio: in genere sull'interfaccia atm si crea una acl con quello che non vuoi far passare, e si permette tutto il resto, poi puoi fare un lavoro molto più di fino sulla ethernet dove hai già passato il nat è quindi puoi specificare anche a quali host permettere e a quali negare!

Inviato: **sab 05 mag , 2007 1:06 pm**

Grazie dell'aiuto prezioso. Provo e ti faccio sapere.

Inviato: **sab 05 mag , 2007 4:06 pm**

Codice: Seleziona tutto

access-list 101 remark *** INBOUND TRAFFIC
access-list 101 permit tcp any rete_interna established
access-list 101 permit udp any eq domain rete_interna
access-list 101 permit tcp any host my-web-server eq www
access-list 101 remark *** se proprio devi...
access-list 101 permit icmp any any
access-list 101 deny   ip any any log

access-list 102 remark *** OUTBOUND TRAFFIC
access-list 102 permit tcp rete_interna any eq www
...
access-list 102 deny   ip any any log

Un paio di consigli:
- Per quanto riguarda il traffico in ingresso la kewyord established ti permette di consentire il traffico che appartiene a connessioni TCP già stabilite. Oltre a qullo devi permettere il traffico UDP e/o il traffico TCP verso eventuali server interni alla rete privata
- Per quanto riguarda il traffico in uscita, almeno durante le fasi di debug, con log hai la possibilità di vedere (a me appare in tempo reale sulla console, non so se si possa loggare/vedere in qualche altro modo) i dettagli dei pacchetti che vengono droppati

Inviato: **dom 06 mag , 2007 7:39 pm**

Quello che tu dici è tutto vero, ma può essere fatto, come gli avevo detto, solo sulla ethernet perchè prima del nat il router non sa cosa sono gli indirizzi interni!

Inviato: **mer 09 mag , 2007 8:56 am**

Grazie ragazzi,
ma nonostante i vostri consigli e il vostro aiuto non funzia. La connessione cade. In ogni caso vi ringrazio.
Se qualcuno tra voi ha qualche ulteriore idea, sono tutt'orecchi.
Saluti

Inviato: **mer 09 mag , 2007 9:11 am**

Metti un deny ip any any LOG alla fine di ogni acl e mettiti in console...
Se qualcosa viene droppato a questo livello, con un po' di pazienza, lo becchi

CiscoForums.it

Aiuto con acl

Aiuto con acl

Grazie

Grazie