un acl che non va

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Salve a tutti,
sto creando una acl e ho un problema, ogni volta che la applico all'interfaccia atm0.1 in ingresso(ip access-group 101 in) mi chiude tutte le connessioni e il router risulta inaccessibile....dove sbaglio?
Volevo bloccare anche msn o facebook ma nbar il router non me lo supporta e pensavo che un acl potesse andar bene(approposito qualcuno mi sa indicare una ios che ha nbar per 837 con 48 mega di ram?!)
Qui sotto c'è la acl così come l'ho creata:

access-list 101 remark Traffico abilitato ad entrare nel router da internet
access-list 101 deny ip 0.0.0.0 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 169.254.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.0.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 198.18.0.0 0.1.255.255 any
access-list 101 deny ip 224.0.0.0 0.15.255.255 any
access-list 101 deny ip any host 255.255.255.255
access-list 101 deny tcp any host messenger.hotmail.com
access-list 101 deny tcp any host www.skype.com
access-list 101 deny tcp any host www.facebook.com
access-list 101 deny tcp any any eq 4443
access-list 101 deny tcp any any eq 6891
access-list 101 deny udp any any eq 13324
access-list 101 deny udp any any eq 13325
access-list 101 deny tcp any any eq 1503
access-list 101 deny tcp any any eq 5010
access-list 101 deny udp any any eq 4000
access-list 101 deny tcp any any eq 5190
access-list 101 deny tcp any any eq 4001
access-list 101 deny tcp any any eq 3474
access-list 101 deny tcp any any eq 7320
access-list 101 deny tcp any any range 6346 6347
access-list 101 deny udp any any range 6346 6347
access-list 101 deny tcp any any eq 4662
access-list 101 deny udp any any eq 4672
access-list 101 deny udp any any range 6881 6889
access-list 101 deny tcp any any range 6881 6889
access-list 101 deny tcp any any eq 6699
access-list 101 deny udp any any eq 6257
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 5800
access-list 101 permit tcp any any eq 5500
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any range 5501 5520
access-list 101 permit udp host [1-DNS-RISOLUXIONE-NOMI-X-ROUTER] eq domain any
access-list 101 permit udp host [2-DNS-RISOLUXIONE-NOMI-X-ROUTER] eq domain any
access-list 101 permit tcp host 63.208.196.96 eq www any log
access-list 101 permit udp host 207.46.232.42 eq ntp any
access-list 101 permit udp host 192.43.244.18 eq ntp any
access-list 101 permit gre any any
access-list 101 deny icmp any any echo
access-list 101 deny ip any any log
A daje e daje le cipolle diventan'aje!!!
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

devi attivare l'inspect..
controlla se il tuo router ha "ip inspect"
in caso negativo, devi usare la keyword "established" nell'acl

ciao!
Avatar utente
RJ45
Network Emperor
Messaggi: 456
Iscritto il: mer 07 giu , 2006 6:40 am
Località: Udine (UD)

Yessss.... mi associo ad Intel,
l'acl che hai creato, così com'è adesso blocca anche il traffico di ritorno, cioè quello che hai richiesto tu dalla lan. Per ovviare all'inconveniente puoi:

1 - utilizzare la funzionalità firewall dell'IOS, il cosiddetto "ip inspect", che tiene conto degli stati delle connessioni e quindi permette il traffico di ritorno perchè sa che è stato generato dalla lan
oppure
2 - nella tua access-list metti "established" alla fine di ogni entry di "permit": così in pratica forzi il router a tenere traccia delle connessioni

Ciaoooooooooo!

Andrea.
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

approposito qualcuno mi sa indicare una ios che ha nbar per 837 con 48 mega di ram?
A daje e daje le cipolle diventan'aje!!!
netanalyzer
n00b
Messaggi: 16
Iscritto il: mer 24 ott , 2007 5:32 pm

RJ45 ha scritto:Yessss.... mi associo ad Intel,
l'acl che hai creato, così com'è adesso blocca anche il traffico di ritorno, cioè quello che hai richiesto tu dalla lan. Per ovviare all'inconveniente puoi:

1 - utilizzare la funzionalità firewall dell'IOS, il cosiddetto "ip inspect", che tiene conto degli stati delle connessioni e quindi permette il traffico di ritorno perchè sa che è stato generato dalla lan
oppure
2 - nella tua access-list metti "established" alla fine di ogni entry di "permit": così in pratica forzi il router a tenere traccia delle connessioni

Ciaoooooooooo!

Andrea.
io ti consiglio di mettere una established sul tuo network pubblico/ip pubblico della outside con una riga nella acl per l'ingresso della tua outside

tipo
access-list 101 permit tcp any x.x.x.x x.x.x.x established

e non su tutte le acl di permit

inoltre l'ip inspect occupa abbastanza cpu sopratutto se metti ip inspect tcp

cmq screma più che puoi le acl un 837 è un 837
Rispondi