[Access-list] posizionamento e non solo

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
mogliasi
Cisco fan
Messaggi: 42
Iscritto il: lun 06 giu , 2005 11:04 am

Postanto la prima volta, colgo l'occasione per salutare tutto il forum!

Ebbene veniamo a noi.
Devo configurare delle ACL per il CISCO 827H.

1)Ho pensato di creare una ACL che sull'interfaccia Dialer1(quindi WAN) che mi facesse entrare solo traffico generato dall'interno; è corretto scrivere una cosa del genere ?

access-list 104 permit udp (dns-di-fiducia) (dns-interni) eq domain
access-list 104 permit tcp any 10.20.0.0 0.0.255.255 established
[...]
ip access-group 104 in

2) Lato LAN invece ho la sola interfaccia eth0 da configurare. Mi chiedevo se fosse meglio piazzare tutte le ACL del caso in IN oppure in OUT come fanno molti.
Ma piazzandole in OUT non "carico" inutilmente il router se poi dopo scarto il tutto ?


Grazie !
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:

una volta che hai applicato l'acl 104 all'interfaccia esterna nonché aggiunto tutte le possibili ispezioni a livello applicativo (ip inspect). direi che non c'è nient'altro da fare.
Lato LAN invece ho la sola interfaccia eth0 da configurare. Mi chiedevo se fosse meglio piazzare tutte le ACL del caso in IN oppure in OUT come fanno molti.
IN e OUT sono due cose estremamente diverse e non sono intercambiabili. Non riesco a capire la tua domanda. Mi spieghi in che modo una ACL può stare in IN oppure in OUT?
Avatar utente
mogliasi
Cisco fan
Messaggi: 42
Iscritto il: lun 06 giu , 2005 11:04 am

Intendevo quale fosse la strategia di "collocamento" migliore. Ovvero so che le ACL devono essere collocate il più vicino possibile alla sorgente del traffico bloccato e magari anche dove possono migliorare l'efficenza dell'intera rete.

Ovvero non sarà certamente uguale impostare delle limitazioni (deny) e applicarli all'interfaccia eth0 (LAN) prima che vengano elaborati IN o dopo OUT o no?

Di default sono sempre OUT, se non erro.
Quali possono essere alcune considerazioni che mi impongono una configurazione in IN per esempio ?
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:

Ovvero non sarà certamente uguale impostare delle limitazioni (deny) e applicarli all'interfaccia eth0 (LAN) prima che vengano elaborati IN o dopo OUT o no?
??? Forse non ci capiamo.
In e out dicono IL VERSO nel quale transitano i dati, visto dall'interno del router. Se applichiamo una ACL in E0 IN, essa processerà i pacchetti che provengono dalla LAN e stanno entrando nel router.
Se invece applichiamo una ACL in E0 OUT, essa processerà i dati che vogliono uscire dalla E0, verso la LAN.
In linea di massima, si preferisce posizionare le ACL all'interfaccia più vicina alla sorgente dei dati. Se proteggiamo quindi una LAN, sarà più logico applicare una regola all'interfaccia WAN del router, con direzione IN (entrante nel router).
Ricordiamo che però, se il router in questione effettua il NAT, da lì non sarà possibile discriminare le destinazioni. Se per noi è indispensabile fare ciò, sarà allora necessario posizionare l'ACL sulla E0 in direzione OUT.

una ACL su E0 in direzione IN, di conseguenza, discrimina il traffico proveniente dalla LAN che sta entrando nel router mentre una ACL sull'interfaccia WAN in direzione OUT, discrimina il traffico che sta uscendo dal router in direzione di internet.

Forse sono io che ho capito male la tua domanda, ma spero che questa spiegazione abbia chiarito i tuoi dubbi e magari anche quelli di qualcun altro.

Se, in fine, mi domandi se sia necessario filtrare due volte (tipo WAN IN, E0 OUT), beh diciamo che può tornare utile se è necessario discriminare sulle destinazioni. Ad es. all'altezza della WAN dai una scremata mentre all'altezza dell'ethernet distingui le destinazioni[/quote]
ghisirds
Cisco fan
Messaggi: 41
Iscritto il: ven 06 lug , 2007 9:04 pm
Contatta:

Ciao a tutti,
si in effetti la domanda non era chiarissima ma TheIrish hai fatto bene a chiarire cosi anche altri possono leggere e magari risolvere dei loro problemi legati a ciò.
Saluti a tutti.

__________________
Creazione siti web reggio emilia, Posizionamento e Social > Visita ora SitiWeb.RE
Rispondi