Pagina 1 di 1
cisco 837 ACL
Inviato: ven 08 feb , 2008 3:52 pm
da dhcp33
devo regolare l'accesso a 3 pc in kiosk mode che devono accedere solo ad 1 ip dove gira un servizio web. sulla stessa rete ho altri pc che non devono avere vincoli.
questo è ciò che ho partorito, è corretto?
Codice: Seleziona tutto
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit udp 172.16.0.0 0.0.0.255 host 208.67.220.220
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 permit udp 172.16.0.0 0.0.0.255 host 208.67.222.222
access-list 104 permit tcp any any eq 53
access-list 104 permit udp any any
access-list 104 deny tcp 172.16.0.0 0.0.0.255 any
access-list 104 deny tcp 172.16.0.0 0.0.0.255 any
access-list 104 permit tcp 172.16.1.0 0.0.0.255 any
access-list 104 permit udp 172.16.1.0 0.0.0.255 any
in pratica da 172.16.0.2 a ipotetici .255 tengo i kiosk
mentre su 172.16.1.0 tengo i restanti pc senza vincoli.
ho permesso si accesso al web che a risoluzione dns, solo tramite i server di open dns.
grazie per l'aiuto
Inviato: sab 09 feb , 2008 9:17 pm
da Wizard
Fatte così hanno poco senso.
Falle così:
Codice: Seleziona tutto
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 deny ip host IP_LIMITATO any
access-list 104 permit ip 172.16.0.0 0.0.0.255 any
access-list 104 deny ip 172.16.0.0 0.0.0.255 any log
Inviato: mer 13 feb , 2008 4:24 pm
da dhcp33
grazie mille.
se ho capito bene,se ho 3 kiosk devo fare 3 volte questo comando con ip di ogni kiosk
access-list 104 deny ip host IP_LIMITATO any
per eventualmente caricarle tramite tftp, posso semplicemente incollarle alla fine della config scaricata dal router e riupparla?
è normale che se scarico la config e la riuppo tale e quale, non mi riconosca dei comandi ?
Inviato: mer 13 feb , 2008 5:06 pm
da Wizard
Intanto cosa intendi per "kiosk"?
Le acl non le caricare via tftp ma direttamente da "conf t" in telnet o console.
Inviato: mer 13 feb , 2008 5:48 pm
da dhcp33
per kiosk intendo postazione internet pubblica limitata.
la limitazione può essere su appunto i siti web visitabili o sulle azioni eseguibili sulla macchina.
nel mio caso (win98) explorer non è attivato, CTRL+ALT+CANC sono disattivati e gira solo IE in modalità -k. i kiosk hanno ip statici.
mi volevo tutelare nel caso qualcuno riesca a ridirigere IE al di fuori dell'url preimpostato.
invece di impazzire per blindare del tutto la macchina, la cosa più semplice è agire sull'acl a monte.
quindi mi confermi una riga per ogni kiosk da "limitare"?
ora quindi posso evitare di usare una rete 172.16.1.0 da riservare in dhcp agli host liberi. farò partire il pool dhcp ad esempio da 172.16.0.127 in poi..
Inviato: gio 14 feb , 2008 10:34 am
da Wizard
- Metti delle regole dove inserisci come ip sorgente la rete e come destinazione i siti\servizi che possono vedere tutti.
- Metti poi le regole per le macchine che possono fare tutto
- Alla fine metti un "deny ip any any log"
Inviato: gio 14 feb , 2008 5:03 pm
da dhcp33
forse mi sono spiegato male.
vorrei che:
172.16.0.2
172.16.0.3
172.16.0.4
..
172.16.0.254
possano vedere solo pagine web (80, 8080, 443) dal sito su 80.76.67.102
ovviamente servirà anche accesso alla 53 sugli OpenDNS
mentre da 172.16.1.1 in poi può accedere a tutto.
ora interpreto il tuo consiglio:
Codice: Seleziona tutto
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
permetto a tutti quelli della 172.16.0.0 di andare sul sito web 80.76.67.102 tramite tcp
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
permetto l'accesso ai 2 dns a tutta la 172.16.0.0
access-list 104 deny ip host IP_LIMITATO any
blocco al determinato host tutto (eventualemnte lo ripeto per ogni host fino ai 254??)
access-list 104 permit ip 172.16.0.0 0.0.0.255 any
permetto tutto a tutti
access-list 104 deny ip 172.16.0.0 0.0.0.255 any log
blocco tutto a tutti
provandola non sortiva effetti di blocco
Inviato: gio 14 feb , 2008 6:18 pm
da dhcp33
Wizard ha scritto:- Metti delle regole dove inserisci come ip sorgente la rete e come destinazione i siti\servizi che possono vedere tutti.
- Metti poi le regole per le macchine che possono fare tutto
- Alla fine metti un "deny ip any any log"
così?
Codice: Seleziona tutto
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 deny ip host 172.16.0.2 any log
access-list 104 deny ip host 172.16.0.3 any log
access-list 104 deny ip host 172.16.0.4 any log
access-list 104 permit tcp 172.16.0.0 0.0.0.255 any
deny ip any any log
permetto a tutti se la destinazione è 80.76.67.102
permetto a tutti le interrogazioni dns
blocco ai kiosk tutto (se il controllo giunge qui significa che hanno interrogato ip diverso da 80.76.67.102)
permetto tutto a tutti (evidentemente sono i tutti tranne i 3 host sopra)
blocco tutto il resto. (non ne ho ancora capito il senso)
tutto sbagliato??
Inviato: ven 15 feb , 2008 5:12 pm
da Wizard
Dovrebbe essere corretta la ultima versione delle acl.
Inviato: dom 17 feb , 2008 7:17 pm
da Maxwell
Wizard ha scritto:Dovrebbe essere corretta la ultima versione delle acl.
Ma non c'e' ridondanza ? Voglio dire che senso hanno le prime tre se poi in fondo c'e'
access-list 104 permit tcp 172.16.0.0 0.0.0.255 any
alla fine quella 'versione' di acl non equivale alla stessa senza le prima 3 ?
Inviato: lun 18 feb , 2008 11:18 am
da Wizard
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 deny ip host 172.16.0.2 any log
access-list 104 deny ip host 172.16.0.3 any log
access-list 104 deny ip host 172.16.0.4 any log
access-list 104 permit tcp 172.16.0.0 0.0.0.255 any
access-list 104 deny ip any any log
Con le prime 3 regole dici che tutti possono accedere al sito 80.76.67.102.
Con le seconde 3 dici e logghi che 3 ip prcisi non possono fare nient antro che vedere quel sito scritto prima.
Come la penultima acl permetti agli altri di fare quello che vogliono verso le porte tcp.
Con la ultima neghi tutto il resto e lo logghi!