Pagina 1 di 1
ACCESS-LIST Nega tutto
Inviato: gio 23 nov , 2006 10:08 am
da crashboy
Salve ragazzi.
Volevo sapere il metodo per negare tutto quello che entra nel router. Mi spiego meglio, io voglio che non passi nulla solo io posso uscire all'esterno, in ingresso nulla.
Grazie per una eventuale risposta.
Saluti
Inviato: gio 23 nov , 2006 10:42 am
da Wizard
La tua richiesta è più complicata di quanto tu possa pensare.
Configurare un ottimo firewall non è facile...
Cmq inizialmente basta che fai 2 acl:
access-l 105 remark *** ACL IN USCITA ***
access-l 105 permit ip any any
int eth0
ip access-group 105 in
access-l 106 remark *** ACL IN ENTRATA ***
access-l 106 deny ip any any log
int atm0.1
ip access-group 106 in
ip inspect name STOP tcp
ip inspect name STOP udp
int eth0
ip inspect STOP in
Inviato: gio 23 nov , 2006 10:52 am
da crashboy
Pensavo bastasse qualcosa del genere:
access-list 101 deny any any
Poi magari per aprire solo la porta 80 del mio webserver
access-list 101 permit ipmiowebserver any
Sbaglio?
Inviato: gio 23 nov , 2006 6:50 pm
da Wizard
Si sbagli perchè senza l'ip inspct non esci...infatti non tornerebbero indietro i pacchetti.
Poi:
Poi magari per aprire solo la porta 80 del mio webserver
access-list 101 permit ipmiowebserver any
NO!
access-list 101 permit tcp ipmiowebserver 0.0.0.0 eq 80
access-list 101 deny any any
Per sicurezza apri solo le porte che servono
Ricordati di fare la regola di nat altrimenti non andrà il server web dall' esterno