2 Nabboquestions

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
McLois
n00b
Messaggi: 19
Iscritto il: mar 10 ott , 2006 4:08 pm

Premesso che vi amo tutti xche' mi avete aiutato subitissimo e il tutto funziona praticamente alla perfezione, ho pensato di approfittare ancora della vostra gentilezza per due problematiche che mi assillano.. :roll: :roll:

Scusate se dico delle ca$$ate galattiche ma sono ancora molto nabbo con lo IOS..

1) domanda piu' terra terra, e' un pezzo della cfg, ma lo posto qui perche' c'entra con la sicurezza.. :wink:

in sintesi mi chiedo. Il nat permette alla rete interna di uscire attraverso la seriale, MA la ethernet ha anche le impostazioni di ACL della lista 102, mi chiedo se le regole della lista 102 vengono effettivamente applicate o no.. :?: :?: :?:

pezzi di cfg..

...
interface FastEthernet0
description "intefaccia interna)
ip address 192.168.yyy.1 255.255.255.0 secondary
ip address 151.13.zzz.1 255.255.255.0
ip access-group 102 out <-----------
ip nat inside
no ip route-cache cef
no ip route-cache
speed auto
no keepalive
!
....
!
interface Serial0.1 point-to-point
description "Accesso Internet"
ip address 151.8.bbb.zzz 255.255.255.192
ip access-group 101 in
ip nat outside
no ip route-cache
frame-relay interface-dlci 140
!
interface Dialer1
no ip address
!
ip nat inside source list 10 interface Serial0.1 overload
...
access-list 10 permit 151.13.zzz.0 0.0.0.255
access-list 10 permit 192.168.xxx.0 0.0.0.255

access-list 102 permit tcp any any established
access-list 102 permit icmp any any echo-reply
access-list 102 permit udp any eq domain 192.168.1.0 0.0.0.255

2) domanda nabbissima (abbiate compassione) :oops:
non ho capito nulla del discorso IN / OUT Sulle interfacce.
Cioe' mi chiedo: l'IN e OUT di una interfaccia e' sempre lo stesso o dipende dalla direzione del traffico? :?: :?: :?: Ho detto una ca$$ata? :D

grazie grazie grazie,
McLois
Top
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

1) certo che vengono applicate!
2) Te lo spiego con un esempio:
Supponiamo che tu voglia bloccare dei dati in entrata sulla tua seriale, per esempio le porte inferiori alle 1024, allora devi applicare una regola sulla seriale IN;
se invece vuoi impedire a qualcosa di uscire puoi applicare una regola sulla ethernet in, oppure sulla seriale out.
Se non sono stato chiaro chiedimi pure
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Top
McLois
n00b
Messaggi: 19
Iscritto il: mar 10 ott , 2006 4:08 pm

Ok credo che l'esempio mi abbia aiutato decisamente a capire, ora il dubbio e', dovendo scegliere a quale interfaccia applicarla come faccio? c'e' una regola (es. buonsenso) o a piacere? :?:

cmq grazie, l'esempio e' stato molto istruttivo! :D

McLois
Top
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:
Contatta TheIrish

Dreamer ha scritto:di norrma si applicano sulla interfaccia piu vicina alla sorgente dei dati.
Questo è molto vero, ma attenzione ad un particolare: il NAT.
Ammettiamo che tu voglia filtrare i dati entranti e queste ACL discriminino in base alla destinazione.
Tipo: se tcp/80 allora permetti verso 192.168.0.5.
In un caso del genere, con il NAT, la regola non può essere applicata all'interfaccia WAN perché la traduzione dell'indirizzo non è ancora avvenuta.
Top
Rispondi

Torna a “Sicurezza”