Pagina 1 di 2
ACL Problema in uscita
Inviato: lun 05 mag , 2008 5:16 pm
da crashboy
Salve a tutti.
Avrei una piccola difficoltà nella configurazione di alcune access-list su un CISCO 3600.
access-list 103 permit tcp any host IPSERVER eq 5060
access-list 103 deny ip any any
questa è la mia access-list riguardante un server che gestisce comunicazioni VOIP. Funziona tutto correttamente in ingresso, tutti i pacchetti vengono filtrati e passano quelli diretti verso la porta tcp 5060, ma in uscita quel server non riesce a fare nulla, neanche un ping. A me serve che in uscita sia funzionante al 100%.
Grazie
Inviato: lun 05 mag , 2008 5:55 pm
da Helix
se aggiungi uno statement:
access-list 103 permit tcp any host IPSERVER eq 5060
access-list 103 permit tcp host IP_SERVER any
access-list 103 deny ip any any
dovrebbe andare
Inviato: lun 05 mag , 2008 6:24 pm
da crashboy
Grazie per la risposta.
Purtroppo continua a non andare. Preciso la mia conf sulla seriale :
interface Serial0/0.1 point-to-point
ip address x.x.x.x 255.255.255.192
ip access-group 103 in
ip access-group 103 out
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili.
Credo che sia l'esigenza più comune
Grazie grante davvero per la risposta.
Inviato: lun 05 mag , 2008 7:18 pm
da the wolf
prova a togliere ip access-group 103 out
Inviato: mar 06 mag , 2008 11:41 am
da Wizard
Intanto crea 2 access-group diversi per il traffoco entrante e uscente.
Tipo 103 out e 104 in
Inviato: mar 06 mag , 2008 1:27 pm
da crashboy
Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
Inviato: mar 06 mag , 2008 1:28 pm
da crashboy
Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
Inviato: mar 06 mag , 2008 1:30 pm
da Helix
hai provato a togliere l'out della 103?
Inviato: mar 06 mag , 2008 2:44 pm
da Helix
crashboy ha scritto:Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
qui permetti alla tua rete di andare ovunque.
access-list 103 permit tcp any host 10.0.0.1 eq 5060
Qui se è SIP dovresti in teoria (se errato qualcuno mi corregga) mettere udp...
access-list 103 deny ip any any
ok
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
Togli la riga
Inviato: mar 06 mag , 2008 5:22 pm
da crashboy
Infatti è tutto corretto e la riga :
ip access-group 103 out
l'ho inserita solo come prova. Purtroppo continua a non andare, solo per i server a cui faccio questa conf riescono ad uscire all'esterno:
access-list 103 permit ip any host 10.0.0.1
Boh
Inviato: mar 06 mag , 2008 7:29 pm
da berni_n1
ma tu quando dici :
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili
sembra che stai ragionando come se dovessi programmare un firewall, ma le acl non sono stateful e fanno semplicemente packet filtering....
Per arrivare al tuo obbiettivo devi prima negare in ingresso il tipo di traffico che non vuoi accettare verso determinati host, inseguito quello che non vuoi accettare per tutta la rete ed infine permetti tutto.
io farei così:
access-list 103 deny tcp any rete_interna/host_interno eq 23 (es. blocchiamo telnet)
access-list 103 deny tcp any rete_interna/host_interno eq 22 (es. blocchiamo ssh)
access-list 103 permit ip any any
e visto che in uscita non vuoi filitri applichi l'acl 103 sulla interfaccia in questo modo:
ip access-group 103 in
Inviato: mer 07 mag , 2008 11:09 am
da crashboy
Mah, l'idea non è male, anzi presumo sia corretta, ma io qui da me ho una 20ina di Server + Router + Switch + altri apparati rete che mi danno noia. Alcuni di questi apparati hanno tante porte aperte per servizi diversi.
Quindi credo che io devo fare l'opposto di quello che mi consigli tu.
Male che va faccio un firewall
Grazie ciao
Inviato: mer 07 mag , 2008 11:25 am
da berni_n1
se hai molti apparati diventa complessa la gestione con le acl, ogni volta che devi apportare una modifica le devi cancellare tutte e rimmetterle... A me è gia capitato di avere acl molte lunghe e nella fase di modifca riportare delle incongruenze perchè non le avevo ricopiate tutte...
Se vuoi installare un firewall e non vuoi spendere molto ti consiglio NETASQ, ha moltissime funzioni (tra cui antivirus) e non è di complicata gestione!
Ciao
Inviato: mer 07 mag , 2008 11:42 am
da crashboy
Scusami l'ignoranza, ma perchè così non funziona :
Access-list 104 permit ip any any log
serial0/0.1 point to point
access-group 104 out
????
Inviato: mer 07 mag , 2008 12:09 pm
da berni_n1
cosa non ti funziona?
Così permetti tutto il traffico ip.... ma avevi messo anche "ip" davanti ad "access-group 104 out"?