Pagina 1 di 1

Deny SSH switch da uno specifico Host

Inviato: mer 18 apr , 2018 7:03 pm
da ryosaeba86
Ragazzi purtroppo ho un problema del quale non riesco a venirne a capo...
Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
Immagine

PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?

grazie mille.

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 9:57 am
da paolomat75
Ciao.

Codice: Seleziona tutto

ip access-list extended SshlAccess
deny tcp host IP_PC2 any eq 22
deny udp host IP_PC2 any eq 22
permit ip any any

line vty 0 15
access-class SshlAccess in
Dovrebbe andare.

Paolo

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 6:35 pm
da ryosaeba86
ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 7:13 pm
da paolomat75
ryosaeba86 ha scritto:ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie
Hai provato? Che firmware hai?

Paolo

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 8:02 pm
da ryosaeba86
no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 8:09 pm
da paolomat75
ryosaeba86 ha scritto:no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
Le ACL sugli switch L2 hanno delle limitazioni, ma che mi risulti sui 2960 puoi usarli nelle vty (hanno qualche funzione L3 tipo SVI).

Paolo

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 8:34 pm
da ryosaeba86
fatto...grazie mille..
avevo quella convinzione e non avevo mai provato sullo sw.

Re: Deny SSH switch da uno specifico Host

Inviato: gio 19 apr , 2018 8:54 pm
da paolomat75
Bene

Ciao

Re: Deny SSH switch da uno specifico Host

Inviato: ven 20 apr , 2018 11:00 am
da ryosaeba86
scusa se ci torno ma è per capire meglio queste ACl...come deny host ovviamente ho inserito quello di PC2...ma facendo ssh da un'altra net...il pacchetto non si presenta allo sw con IP sorgente uguale al Gw della VLAN 99???
io ho bloccato un pc vlan 20 che ha gw sottointerfaccia sul router..poi dovrebbe fare inter-vlan routing ...e non si presenta con IP del pc..quindi l'acl come fa a bloccarlo..!!!

Re: Deny SSH switch da uno specifico Host

Inviato: ven 20 apr , 2018 12:42 pm
da paolomat75
Ciao.
Facendo inter-vlan roouting non viene cambiato l'IP sorgente (a meno di NAT). La acl funziona per quel motivo.

So di essere molto stringato, ma sono oberato di lavoro. Comunque se hai dubbi scrivi che cerco di spiegarmi meglio.

Paolo

Re: Deny SSH switch da uno specifico Host

Inviato: ven 20 apr , 2018 4:13 pm
da ryosaeba86
nono grazie dell'aiuto..ero io che stavo facendo una confusione assurda...giustamente nei passaggi L3 ip source e destination rimangono gli stessi (a meno di nat) appunto...quindi l'acl giusto cosi.