CiscoForums.it

Salve,
dovrei configurare una Access List su di un Cisco 2600 ma purtroppo non va.
Ho googlato abbastanza ma non sono riuscito a fare molto.
Ho un server con IP pubblico (IP-SERVER) che deve rendere disponibile solo HTTP e HTTPS verso tutti e invece solo da un IP fidato (IP-TRUSTED) rendere disponibile tutte le porte.
La mia configurazione è questa:

access-list 101 permit tcp any host eq www IP-SERVER eq www established
access-list 101 permit tcp any host eq www IP-SERVER eq 443 established
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any

Ovviamente alla fine applico la access list sull'interfaccia Ethernet.

Qualcuno mi riuscirebbe ad illuminare?

Grazie.

Scusate,
ho pensato di correggere brevemente un errore, ma ancora non va.

access-list 101 permit tcp any host IP-SERVER eq www established
access-list 101 permit tcp any host IP-SERVER eq 443 established
access-list 101 permit ip host IP-TRUSTED host IP-SERVER
access-list 101 deny ip any host IP-SERVER
access-list 101 permit ip any any

Questa seconda versione dell'ACL sembra coerente con lo scopo descritto, forse il problema è altrove, sarebbe necessario vedere il resto della configurazione.

X le ACL falle così:
2 note:

1) In IP-SERVER devi mettere l'ip pubblico su cui natti l'ip interno del server
2) La ultima acl (access-list 101 permit ip any any) io la farei diventare "access-list 101 deny ip any any" e imposterei l'ip inspect in uscita.

Ho provato ma non funziona.
La riga access-list 101 permit ip any any la devo tenere perchè non ho un NAT vero e proprio ma devo gestire alcuni IP pubblici sul altri server.
In buona sostanza il router non fa NAT ma gestisce alcuni IP pubblici direttamente.

Beh vabè, crea delle acl ad hoc.
Configurato così è un buco mostruoso!
Se hai una ios firewall configura l'ids, se non la hai attiva uno smartnet ed installala.
Se non va l'accesso al server l'errore è nelle regole di nat o sulla macchina non sulle acl.