Pagina 1 di 1

blocc ip

Inviato: mer 10 ott , 2012 2:47 pm
da spider
Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!

Ho da bloccare un ip sul catalyt 4500 help me

Re: blocc ip

Inviato: mer 10 ott , 2012 3:48 pm
da paolomat75
spider ha scritto:Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!

Ho da bloccare un ip sul catalyt 4500 help me
Benvenuta Elisabetta.

Non vorrei dire una castroneria ma il 4500n è L3. UNa classica ACL?

Paolo

Re: blocc ip

Inviato: mer 10 ott , 2012 6:22 pm
da zot
Ma dai, rispondi pure a uno che si chiama "spider" ???? :lol: :lol: :lol:

senza offesa "spider" :) ...

Re: blocc ip

Inviato: gio 11 ott , 2012 9:02 am
da spider
Beh ho fatto access list alle interfacee L3 ma ho problemi di autenticazione con il dominio

Esempio di quanto fatto:
cat4500(config-ext-nacl)#permit ip 192.168.73.0 0.0.0.255 any
cat4500(config)#interface gigabitEthernet 5/2
cat4500(config-if)# ip access-group 103 in

ma questi utenti non si autenticavano in dominio allora cosa ho pensato faccio così:

ip access-list extended 113
permit ip 192.168.73.0 0.0.0.255 192.168.80.0 0.0.0.255
ip access-group 113 in

dato che la rete dove si trova AD è la 80

In questo modo il problema lo risolvo secondo voi?

Grazie, anche per la battuta sul nome :-)

Re: blocc ip

Inviato: gio 11 ott , 2012 9:22 am
da Rizio
Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit. Mi sono perso qualcosa?
Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni? Perchè io ho un pò di dubbi, sul mio 4500 l'applico sulla vlan che è il default gw della lan.

Rizio

Re: blocc ip

Inviato: gio 11 ott , 2012 9:35 am
da spider
Ciao allora:
1)Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni?
Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
2)Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit
Beh hai ragione voglio bloccare un IP, ma poi pensandoci bene voglio far passare solo il traffico che dico io, quello della rete 192.168.73.0 verso tutto.
Questo dovrebbe evitare eventuale traffico spoofing.

Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?

Ciao

Re: blocc ip

Inviato: gio 11 ott , 2012 10:35 am
da Rizio
spider ha scritto:Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
Si, ok però non ho mai provato e non sò se e come funzia, mi saprai poi direi tu.
spider ha scritto:Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?
Si, AFAIK, se le reti sono corrette si, dovrebbe andare bene. Alla peggio puoi provare bloccando un singolo IP di prova e chiudendo l'ACL con una permit any any, poi vedi con un pc che ha l'ip bloccato cosa riesci a vedere in rete.

Rizio

Re: blocc ip

Inviato: mar 16 ott , 2012 9:12 am
da spider
Ciao a tutti,
ho risolto il problema in questo modo:
ip access-list extended antispoofing-pt
permit ip 192.168.70.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255
deny ip any any log

e poi l'ho applicata all'interfaccia di interesse, ma se avessi messo il permit udp host 0.0.0.0 host 255.255.255.255 non riuscivo a far passare i pacchetti per il DHCP.

Grazie tutti come sempre per i suggerimenti e consigliu.

Alla prossima cari :-)