br00tal ha scritto:Ho capito la storia che devo far finta di essere il router ecc... ma se tipo in un access list c'è un source da DENTRO la rete (Fa0/0), per applicarla metto in, mentre se è un acc list con source da FUORI metto out.
Ho capito bene?
Non vorrei complicarti la faccenda, a grandi linee è come hai detto tu, ma...
Supponi che sulla LAN, connessa alla Fa0/0, tu abbia la classe 192.168.1.0/24. Se vuoi matchare il traffico proveniente dalla tua LAN metti una ACL in IN sulla Fa0/0 con source 192.168.1.0/24. IN è il traffico come lo vede il router, ovvero quello che dall'esterno entra nel router.
Se mettessi quella ACL in OUT sulla Fa0/0, avresti un altro risultato: ovvero matcheresti il traffico che esce dal router e va verso la LAN e che, comunque, ha come sorgente la classe 192.168.1.0/24. Tu dirai, ma come, se la 192.168.1.0/24 è sulla mia LAN, come faccio ad avere traffico diretto verso la mia LAN e proveniente dalla sua stessa subnet? Beh, ad esempio potresti beccare tutto il traffico con IP "spoofato", pacchetti messi in giro maliziosamente da qualche tool proprio per bucare le tue misure di sicurezza...
Il discorso non cambia per le extended, IN e OUT sono sempre loro e devi ragionare allo stesso modo, tenendo conto pure della destinazione del pacchetto e anche delle porte!
Spero di non averti complicato le idee!
