ACL per filtrare il traffico di un host, si può fare?

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
@lan72
Cisco enlightened user
Messaggi: 157
Iscritto il: gio 22 mag , 2008 4:36 pm
Località: Sicily

Dopo una lunga assenza rieccomi.. Buongiorno a tutti :)

desideravo porvi un quesito, ho un router Cisco 867VAE (non sec k9) ed avrei l'esigenza tramite delle acl o altro comando di restringere il traffico di un solo ip connesso su una delle 4 porte FastEthernet

in pratica, il router cisco ha ip locale 192.168.0.220 ed è connesso ad internet
sulla porta FastEthernet0 ho collegato un airport- express per una rete guest configurato in nat-dhcp con ip locale 192.168.0.230

quindi, la mappa di rete è la seguente:
(device ospite 172.16.0.X tramite dhcp airport) NAT-> (Ip locale airport dove esce tutto il traffico nattato 192.168.0.230) -> (router cisco 192.168.0.220) -> (internet)

in questo modo tutti i dispositivi connessi tramite dhcp dell'airport 172.16.x vengono nattati su 192.168.0.230

se dai pc della classe 192.168.0.x provo a raggiungere i dispositivi collegati in wifi 172.16.x naturalmente non li ragiungo, ma se faccio il contrario dai dispositivi wifi 172.16.x al 192.168.x si :roll:

la domanda è posso fare in modo che l'ip dell'airport dove passa tutto il traffico nattato (192.168.0.230) veda solo l'ip del router 192.168.0.220 (che mi serve per navigare) e bloccare tutto il resto


avevo pensato di fare cosi ma non so se posso mettere una acl sull'interfaccia fisica
ip access-list extended ap-ospiti
deny ip 192.168.0.0 255.255.255.0 192.168.0.255 255.255.255.0
permit ip 192.168.1.220 255.255.255.0 any

int FastEthernet0
ip access-group ap-ospiti in
share your knowledge

.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Se no mi sbaglio quel modello ha porte switch, perciò ACL va sulla VLAN corrispondente.
Comunque la ACL mi sembra sbagliata.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
roton
Cisco fan
Messaggi: 39
Iscritto il: mer 27 mar , 2013 9:12 am

Ciao,
l'ACL corretta sarebbe questa:
(blocchi da 0.230 verso gli altri, tranne 0.220)

ip access-list extended ap-ospiti
permit ip host 192.168.0.230 host 192.168.0.220
deny ip host 192.168.0.230 192.168.0.0 0.0.0.255
permit ip any any

Essendo però collegati con lo switch integrato nel router, il traffico non passa dal router, quindi non credo tu riesca a filtrare il traffico
Avatar utente
@lan72
Cisco enlightened user
Messaggi: 157
Iscritto il: gio 22 mag , 2008 4:36 pm
Località: Sicily

Grazie x le info ragazzi,
ma ho risolto creando una Vlan2 impostando sulla fastethernet1 (dove è collegato l'AP) "switchport mode access vlan 2" e modificando le acl in maniera tale da creare 2 reti distinte che vanno entrambe su internet ma che non si vedono ;)
share your knowledge

.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
Rispondi