CiscoForums.it

Inviato: **ven 07 apr , 2006 10:44 am**

Ciao a tutti, premetto che prima di postare ho cercato la soluzione nei
vari messaggi ma, anche avendo capito più o meno come fare non sono
riuscito a risolvere il mio problema...
Ho un 827-4v e un utente sulla LAN che mi fa peer to peer in maniera
sconsiderata.

Sto cercando di bloccarlo definendo una access list in uscita dalla LAN
stessa. L'idea è quella di bloccare tutto eccetto i servizi base.
Adesso per fare una prova ho concesso il traffico verso tutte le porte
<1024 ma così parrebbe non girare proprio traffico. Dove sbaglio?

grazie mille per l'attenzione.
Gianni

!
!
interface Ethernet0
description interfaccia LAN
ip address 192.168.1.1 255.255.255.0
ip access-group 102 out
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname aliceadsl
ppp chap password 7 XXXXXXXXX
ppp pap sent-username aliceadsl password 7 XXXXXXXXXX
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.2 20 interface Dialer1 20
ip nat inside source static tcp 192.168.1.2 21 interface Dialer1 21
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any lt 1024
access-list 102 permit icmp any any
access-list 102 permit udp 192.168.1.0 0.0.0.255 any lt 1024
access-list 105 remark Configurazione per VoIP
access-list 105 permit udp any any eq 5060
access-list 105 permit udp any any eq 5004
dialer-list 1 protocol ip permit
!

Inviato: **ven 07 apr , 2006 11:30 am**

giannimarangon ha scritto:interface Ethernet0
ip access-group 102 out

Intanto metti questa in "in".

giannimarangon ha scritto:access-list 102 permit tcp 192.168.1.0 0.0.0.255 any lt 1024
access-list 102 permit icmp any any
access-list 102 permit udp 192.168.1.0 0.0.0.255 any lt 1024

Con queste ACL non risolvi sulla...l' icmp any any è decisamente pericoloso, dalla 1024 in giù, a parte il server FTP non ti serve niente...
E, comunque, il P2P è una brutta bestia...cerca nel forum perchè mi ricordo di un link dove si tentava di arginare il fenomeno...al limite, strozza la banda dell' utente a 20k, così gli passa la voglia

CiscoForums.it

ACL: Perchè non funziona?!??!

ACL: Perchè non funziona?!??!

Re: ACL: Perchè non funziona?!??!