Aiuto per acl simulazione

[stefano651982]

Sto impazzendo per scrivere questa acl e capire le altre che hanno scritto, danno 4 o 5 indicazioni e vanno scritte con soli 3 statements, aiutatemi per favore vorrei capire la logica che c'è dietro nella scrittura della acl proprio il modus operandi da seguire ho la certificazione a breve.
http://www.9tut.com/78-ccna-access-list ... 6#comments

1) Only Host B has HTTP access to Financial Web Server
2) No other hosts from the LAN nor the Core should be able to use a web browser to access Financial Web Server
3) All other access from Host B to the Financial Web Server should be denied
4) All hosts in the host lan should be should have access to the Public Web Server

[ghira]

tieni presente il "deny any" che hai alla fine dell'acl per default.

quindi permetti quello che devi permettere e tutto il resto sara' vietato.

[stefano651982]

si quello certo ma se la provi a scrivere in 3 statement non ci riesci...o almeno io non ci riesco ci ho provato in tanti modi ma non ci riesco proprio

[evilroot]

Sto impazzendo per scrivere questa acl e capire le altre che hanno scritto, danno 4 o 5 indicazioni e vanno scritte con soli 3 statements, aiutatemi per favore vorrei capire la logica che c'è dietro nella scrittura della acl proprio il modus operandi da seguire ho la certificazione a breve.
http://www.9tut.com/78-ccna-access-list ... 6#comments

1) Only Host B has HTTP access to Financial Web Server
2) No other hosts from the LAN nor the Core should be able to use a web browser to access Financial Web Server
3) All other access from Host B to the Financial Web Server should be denied
4) All hosts in the host lan should be should have access to the Public Web Server

Dunque come ha detto ghira devi considerare il deny any implicito alla fine di ogni acl. Pertanto prima metti le statement che permettono traffico:
access-list 100 permit tcp host host_b host fin_server eq 80 --> condizione 1
access-list 100 permit ip net_lan wild_mask host pub_server --> condizione 4
access-list 100 deny tcp any host fin_server eq 80 --> condizione 2, non ha conseguenze sull'accesso http di host b perchè la prima statement dell'acl permette traffico e il controllo è sequenziale; la condizione 3 è verificata dal "deny any" finale.

[stefano651982]

grazie evil però credo che anche la tua non vada bene, mi tornerà utilissimo il pensare di mettere prima i permit e poi il resto, è un buon modo di procedere ma per dire, il tuo deny alla fine è inutile tanto è incluso nel deny any any, il problema è che dice di scriverlo in 3 statement, e lasciando il deny any any alla fine ti elemina un casino di altre cose non richieste, quindi sto pensando seriamente che hanno scritto male il testo della domanda.

[evilroot]

No no la domanda è giusta, ho fatto confusione io. Sostituisci l'ultima statement che come hai detto tu è inclusa nel deny finale, con permit ip any any altrimenti tutto il traffico ip sarebbe bloccato e non è richiesto dalle condizioni. In questo modo dovrebbe andare:
access-list 100 permit tcp host host_b host fin_server eq 80
access-list 100 deny tcp any host fin_server eq 80
access-list 100 permit ip any any

[stefano651982]

no non va bene nemmeno queste perchè è richiesto di bloccare tutto il traffico dell'host B e così tu stai bloccando solo il suo traffico internet.
Ti ripeto le ho provate davvero tutte secondo me c'è un errore nella domanda....c'è la parola " traffico internet" di troppo nel bloccare lan host e core.
Se arrivi ad una soluzione ti ringrazio davvero tanto, ma io per ora lo ho lasciato li perchè ci ho perso un casino di tempo appresso.