blocc ip

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!

Ho da bloccare un ip sul catalyt 4500 help me
paolomat75
Messianic Network master
Messaggi: 2939
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

spider ha scritto:Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!

Ho da bloccare un ip sul catalyt 4500 help me
Benvenuta Elisabetta.

Non vorrei dire una castroneria ma il 4500n è L3. UNa classica ACL?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Ma dai, rispondi pure a uno che si chiama "spider" ???? :lol: :lol: :lol:

senza offesa "spider" :) ...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Beh ho fatto access list alle interfacee L3 ma ho problemi di autenticazione con il dominio

Esempio di quanto fatto:
cat4500(config-ext-nacl)#permit ip 192.168.73.0 0.0.0.255 any
cat4500(config)#interface gigabitEthernet 5/2
cat4500(config-if)# ip access-group 103 in

ma questi utenti non si autenticavano in dominio allora cosa ho pensato faccio così:

ip access-list extended 113
permit ip 192.168.73.0 0.0.0.255 192.168.80.0 0.0.0.255
ip access-group 113 in

dato che la rete dove si trova AD è la 80

In questo modo il problema lo risolvo secondo voi?

Grazie, anche per la battuta sul nome :-)
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit. Mi sono perso qualcosa?
Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni? Perchè io ho un pò di dubbi, sul mio 4500 l'applico sulla vlan che è il default gw della lan.

Rizio
Si vis pacem para bellum
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao allora:
1)Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni?
Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
2)Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit
Beh hai ragione voglio bloccare un IP, ma poi pensandoci bene voglio far passare solo il traffico che dico io, quello della rete 192.168.73.0 verso tutto.
Questo dovrebbe evitare eventuale traffico spoofing.

Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?

Ciao
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

spider ha scritto:Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
Si, ok però non ho mai provato e non sò se e come funzia, mi saprai poi direi tu.
spider ha scritto:Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?
Si, AFAIK, se le reti sono corrette si, dovrebbe andare bene. Alla peggio puoi provare bloccando un singolo IP di prova e chiudendo l'ACL con una permit any any, poi vedi con un pc che ha l'ip bloccato cosa riesci a vedere in rete.

Rizio
Si vis pacem para bellum
Avatar utente
spider
Cisco fan
Messaggi: 47
Iscritto il: dom 16 dic , 2007 1:55 pm
Località: Napoli

Ciao a tutti,
ho risolto il problema in questo modo:
ip access-list extended antispoofing-pt
permit ip 192.168.70.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255
deny ip any any log

e poi l'ho applicata all'interfaccia di interesse, ma se avessi messo il permit udp host 0.0.0.0 host 255.255.255.255 non riuscivo a far passare i pacchetti per il DHCP.

Grazie tutti come sempre per i suggerimenti e consigliu.

Alla prossima cari :-)
Rispondi