CiscoForums.it

Eccole quà, il peggiore incubo dei CCNA

Ancora non capisco la differenza tra in e out in un interfaccia.

Ho capito la storia che devo far finta di essere il router ecc... ma se tipo in un access list c'è un source da DENTRO la rete (Fa0/0), per applicarla metto in, mentre se è un acc list con source da FUORI metto out.
Ho capito bene?

E poi riguardo le extended che vanno messe più vicino alla destinazione, il discorso è lo stesso?

E' 2 giorni che ci sbatto la testa...

Grazie a tutti

br00tal ha scritto:Ho capito la storia che devo far finta di essere il router ecc... ma se tipo in un access list c'è un source da DENTRO la rete (Fa0/0), per applicarla metto in, mentre se è un acc list con source da FUORI metto out.
Ho capito bene?

Non vorrei complicarti la faccenda, a grandi linee è come hai detto tu, ma...

Supponi che sulla LAN, connessa alla Fa0/0, tu abbia la classe 192.168.1.0/24. Se vuoi matchare il traffico proveniente dalla tua LAN metti una ACL in IN sulla Fa0/0 con source 192.168.1.0/24. IN è il traffico come lo vede il router, ovvero quello che dall'esterno entra nel router.

Se mettessi quella ACL in OUT sulla Fa0/0, avresti un altro risultato: ovvero matcheresti il traffico che esce dal router e va verso la LAN e che, comunque, ha come sorgente la classe 192.168.1.0/24. Tu dirai, ma come, se la 192.168.1.0/24 è sulla mia LAN, come faccio ad avere traffico diretto verso la mia LAN e proveniente dalla sua stessa subnet? Beh, ad esempio potresti beccare tutto il traffico con IP "spoofato", pacchetti messi in giro maliziosamente da qualche tool proprio per bucare le tue misure di sicurezza...

Il discorso non cambia per le extended, IN e OUT sono sempre loro e devi ragionare allo stesso modo, tenendo conto pure della destinazione del pacchetto e anche delle porte!

Spero di non averti complicato le idee!

nono, assolutamente, ora è più chiaro

Hai qualche dritta sul capire in che interfaccia settare le ACL extended?
Da quanto ho cpaito io le extended vanno messe nell'interfaccia più vicina alla destinazione.

Da manuale, le extended dovrebbero essere piazzate più vicine possibile alla sorgente del traffico.

Nell'esempio di prima, se non vuoi che i tuoi beati utenti della LAN aprano il sito WEB all'ip 10.0.0.1, metti un'ACL in ingresso (IN) sulla fa0/0 bloccando il traffico TCP da 192.168.1.0/24 diretto verso 10.0.0.1/32 porta 80.

Le standard sono da mettere prossime alla destinazione del traffico.

Avevo invertito. Grazie.

Ti posto un esempio:



Allora per fare in modo che gli host accedano alla server farm contenti un server dns e un server web, ho creato 2 ACL permit dove sorgente any e destinazione i 2 server e le rispettive porte.
E sotto ci ho fatto un deny eny, bloccando tutto il resto.
Va messa sulla fa0/0 settata in out.

Mettiamo caso che le seriali siano delle Fastethernet e da una parte voglio accedere all'altra. Vista dalla prospettiva del router il pacchetto da una parte entra nel router ed esce dall'altra parte. Una ACL qualsiasi, tipo un permit, cosa andrebbe messo? in o out? Ragionandoci direi sempre out. Proprio per il discorso di prima che se la destinazione è da un'altra parte deve uscire. O sbaglio?

Altro esempio:



step 2 (non guardare lo step 3)
ho fatto la ACL e ora la devo settare nella fa0/1 (quella che va verso lo switch con i 2 pc, non verso la server farm). Mi dice che devo settarla come out.
Perchè non in? Cioè, cosa è che fa decidere che quella parte è out e non in?

Ciao,

allora le acl sono interpretabili, nel senso che non esiste una procedura specifica per arrivare ad un obiettivo.
Ci sono tante strade, quindi tante configurazioni che ti possono portare al risultato finale. Alcune sono più corrette di altre ma solo in termini di carico sulla cpu del router, di uso della banda ecc ecc ma il risultato finale è lo stesso.
Di norma le ACL standard si applicano il più vicino possibile alla destinazione, mentre le ACL estese di applicano il più vicino possibile alla sorgente da filtrare.
Si imposta l'acl IN se il traffico entra su quell'interfaccia, mentre si impostano in OUT se il traffico esce. Devi solo capire come gira il traffico che vuoi filtrare e applichi il verso dell'acl di conseguenza.