Salve,
dovrei configurare una Access List su di un Cisco 2600 ma purtroppo non va.
Ho googlato abbastanza ma non sono riuscito a fare molto.
Ho un server con IP pubblico (IP-SERVER) che deve rendere disponibile solo HTTP e HTTPS verso tutti e invece solo da un IP fidato (IP-TRUSTED) rendere disponibile tutte le porte.
La mia configurazione è questa:
access-list 101 permit tcp any host eq www IP-SERVER eq www established
access-list 101 permit tcp any host eq www IP-SERVER eq 443 established
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any
Ovviamente alla fine applico la access list sull'interfaccia Ethernet.
Qualcuno mi riuscirebbe ad illuminare?
Grazie.
Access List apparentemente semplice, ma non va!
Moderatore: Federico.Lagni
-
brenz
- n00b
- Messaggi: 3
- Iscritto il: sab 19 mag , 2007 1:13 pm
Scusate,
ho pensato di correggere brevemente un errore, ma ancora non va.
access-list 101 permit tcp any host IP-SERVER eq www established
access-list 101 permit tcp any host IP-SERVER eq 443 established
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any
ho pensato di correggere brevemente un errore, ma ancora non va.
access-list 101 permit tcp any host IP-SERVER eq www established
access-list 101 permit tcp any host IP-SERVER eq 443 established
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Questa seconda versione dell'ACL sembra coerente con lo scopo descritto, forse il problema è altrove, sarebbe necessario vedere il resto della configurazione.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
X le ACL falle così:
2 note:
1) In IP-SERVER devi mettere l'ip pubblico su cui natti l'ip interno del server
2) La ultima acl (access-list 101 permit ip any any) io la farei diventare "access-list 101 deny ip any any" e imposterei l'ip inspect in uscita.
Codice: Seleziona tutto
no access-list 101
access-list 101 permit tcp any host IP-SERVER eq www
access-list 101 permit tcp any host IP-SERVER eq 443
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any
1) In IP-SERVER devi mettere l'ip pubblico su cui natti l'ip interno del server
2) La ultima acl (access-list 101 permit ip any any) io la farei diventare "access-list 101 deny ip any any" e imposterei l'ip inspect in uscita.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
brenz
- n00b
- Messaggi: 3
- Iscritto il: sab 19 mag , 2007 1:13 pm
Ho provato ma non funziona.
La riga access-list 101 permit ip any any la devo tenere perchè non ho un NAT vero e proprio ma devo gestire alcuni IP pubblici sul altri server.
In buona sostanza il router non fa NAT ma gestisce alcuni IP pubblici direttamente.
La riga access-list 101 permit ip any any la devo tenere perchè non ho un NAT vero e proprio ma devo gestire alcuni IP pubblici sul altri server.
In buona sostanza il router non fa NAT ma gestisce alcuni IP pubblici direttamente.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Beh vabè, crea delle acl ad hoc.
Configurato così è un buco mostruoso!
Se hai una ios firewall configura l'ids, se non la hai attiva uno smartnet ed installala.
Se non va l'accesso al server l'errore è nelle regole di nat o sulla macchina non sulle acl.
Configurato così è un buco mostruoso!
Se hai una ios firewall configura l'ids, se non la hai attiva uno smartnet ed installala.
Se non va l'accesso al server l'errore è nelle regole di nat o sulla macchina non sulle acl.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
