Ciao a tutti,
ho configurato un pix per accettare connessioni vpn(o meglio mi hanno aiutato a configurarlo). Ora ho un problema: ho creato un acl che fa passare praticamente tutto: per far accettare solo le vpn e chiudere le altre porte devo prima consentire l'accesso vpn e poi negare il resto oppure il contrario?
E poi le acl dei pix controllano se è a 255 oppure se è a 0?
Configurazioni acl
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Questa domanda è... come dire... confusa.
Le risposte ad entrambe le domande sono due, una l'inverso dell'altra.
Cercando di immaginare cosa intendi riguardo alla ACL, ti dico questo: le ACL vengono interpretate:
1. dall'"alto" al "basso", dalla prima inserita spostandosi verso l'ultima
2. appena un pacchetto ha un "riscontro" su una ACL, l'interpretazione si ferma.
Cosa vuol dire? Che se io scrivo.
Ammettiamo arrivi un pacchetto TCP da AAA.AAA.AAA.AAA verso un qualsiasi host alla porta 80, alla prima riga avviene un match, il pacchetto viene autorizzato e tutto il resto non gli importa più.
Se arriva un pacchetto TCP da AAA.AAA.AAA.AAA verso un qualsiasi host alla porta 21, la prima riga fa un match? No. La seconda riga fa un match? eheheh, sì: operazione: nega e la catena si interrompe. E la terza che consentiva la porta 21? Forse è nella posizione sbagliata?
La questione 255 o 0 (che immagino abbia a che fare con le subnet mask o le Wildcard mask) ha a che fare con il mondo del subnetting e questo, credimi, non è una cosa che dovresti accettare come una quesitone di 255 o 0.
Oltre tutto, non ho ben chiaro dove vorresti piazzare questi... numeri. Portaci un esempio che ti crea qualche dubbio e ne parliamo
Le risposte ad entrambe le domande sono due, una l'inverso dell'altra.
Cercando di immaginare cosa intendi riguardo alla ACL, ti dico questo: le ACL vengono interpretate:
1. dall'"alto" al "basso", dalla prima inserita spostandosi verso l'ultima
2. appena un pacchetto ha un "riscontro" su una ACL, l'interpretazione si ferma.
Cosa vuol dire? Che se io scrivo.
Codice: Seleziona tutto
permetti tcp da AAA.AAA.AAA.AAA verso qualsiasi porta 80
nega tcp da qualsiasi a qualsiasi
permetti tcp da AAA.AAA.AAA.AAA verso qualsaisi porta 21Se arriva un pacchetto TCP da AAA.AAA.AAA.AAA verso un qualsiasi host alla porta 21, la prima riga fa un match? No. La seconda riga fa un match? eheheh, sì: operazione: nega e la catena si interrompe. E la terza che consentiva la porta 21? Forse è nella posizione sbagliata?
La questione 255 o 0 (che immagino abbia a che fare con le subnet mask o le Wildcard mask) ha a che fare con il mondo del subnetting e questo, credimi, non è una cosa che dovresti accettare come una quesitone di 255 o 0.
Oltre tutto, non ho ben chiaro dove vorresti piazzare questi... numeri. Portaci un esempio che ti crea qualche dubbio e ne parliamo
-
CbcUser
- Cisco fan
- Messaggi: 36
- Iscritto il: ven 29 set , 2006 10:56 am
Ciao,
ti ringrazio prima di tutto per la pronta risposta che comunque è stata molto chiara, e ti spiego le questioni in cui non sono stato chiaro. Il mio obiettivo è consentire su un pix connessioni vpn e basta. Quindi dovrei, almeno credo, creare una acl nella quale permetto il traffico su porte udp 4500 e 500, nonchè telnet e credo tcp 443. Per quanto riguarda la questione di 255 e 0 la domanda esatta è questa: io non ricordo la differenza per far fare il matching tra un router e un pix; se non sbaglio il pix fa un controllo sull'ip quando il bit corrispondente della wildcard è posto a 0. Vieceversa quanto è posto a 1 non lo controlla; è esatto?
So di non essere molto ferrato e ti chiedo scusa per le mie domande elementari, e soprattutto ti ringrazio per la pazienza.
A presto
ti ringrazio prima di tutto per la pronta risposta che comunque è stata molto chiara, e ti spiego le questioni in cui non sono stato chiaro. Il mio obiettivo è consentire su un pix connessioni vpn e basta. Quindi dovrei, almeno credo, creare una acl nella quale permetto il traffico su porte udp 4500 e 500, nonchè telnet e credo tcp 443. Per quanto riguarda la questione di 255 e 0 la domanda esatta è questa: io non ricordo la differenza per far fare il matching tra un router e un pix; se non sbaglio il pix fa un controllo sull'ip quando il bit corrispondente della wildcard è posto a 0. Vieceversa quanto è posto a 1 non lo controlla; è esatto?
So di non essere molto ferrato e ti chiedo scusa per le mie domande elementari, e soprattutto ti ringrazio per la pazienza.
A presto
-
vanescar
- Cisco fan
- Messaggi: 73
- Iscritto il: mar 21 feb , 2006 11:33 pm
scusate intrusione.
dunque in questa configurazione il resto scritto dopo
access-list 100 deny tcp any any
access-list 100 deny udp any any
e' scritto per niente.....??
dunque in questa configurazione il resto scritto dopo
access-list 100 deny tcp any any
access-list 100 deny udp any any
e' scritto per niente.....??
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 permit udp any any eq 5000
access-list 100 permit tcp any any eq 5500
access-list 100 deny igmp any any
access-list 100 deny icmp any any
access-list 100 deny tcp any any
access-list 100 deny udp any any
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq 5900
access-list 100 permit tcp any any eq 5800
access-list 100 permit udp any any eq 7780
access-list 100 permit udp any any eq tftp
access-list 100 permit tcp any any eq domain
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 5000
access-list 100 permit udp any any eq 4000
access-list 100 permit tcp any any eq 7779
access-list 100 permit tcp any any eq 5802
access-list 100 permit tcp any any eq 5902
access-list 100 permit tcp any any eq 10000
access-list 100 permit tcp any any eq 11000
access-list 100 permit tcp any any eq 5060
-
vanescar
- Cisco fan
- Messaggi: 73
- Iscritto il: mar 21 feb , 2006 11:33 pm
ok..imparata un'altra cosa....Grazie!!
access-list 100 permit udp any any eq 5000
access-list 100 permit tcp any any eq 5500
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq 5900
access-list 100 permit tcp any any eq 5800
access-list 100 permit udp any any eq 7780
access-list 100 permit udp any any eq tftp
access-list 100 permit tcp any any eq domain
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 5000
access-list 100 permit udp any any eq 4000
access-list 100 permit tcp any any eq 7779
access-list 100 permit tcp any any eq 5802
access-list 100 permit tcp any any eq 5902
access-list 100 permit tcp any any eq 10000
access-list 100 permit tcp any any eq 11000
access-list 100 permit tcp any any eq 5060
access-list 100 deny igmp any any
access-list 100 deny icmp any any
access-list 100 deny tcp any any
access-list 100 deny udp any any
-
[Dj][DMX]
- Coamministratore
- Messaggi: 428
- Iscritto il: mer 24 nov , 2004 12:42 am
- Località: Udine
Ed eccone altre 2:
- anche messi dove sono adesso sono inutili, perchè in fondo ad ogni acl c'è implicitamente il comando deny ip any any.
- quest'acl in che contesto si trova?Perchè se è sul dialer di un router domestico fatta così non è che abbia molto senso!
- anche messi dove sono adesso sono inutili, perchè in fondo ad ogni acl c'è implicitamente il comando deny ip any any.
- quest'acl in che contesto si trova?Perchè se è sul dialer di un router domestico fatta così non è che abbia molto senso!
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Piergiorgio Welby
-
vanescar
- Cisco fan
- Messaggi: 73
- Iscritto il: mar 21 feb , 2006 11:33 pm
(credo) se il pacchetto trova istruzione in una ACL questo non viene fatto filtrare nelle altre ACL, dunque, il resto in TCP o UDP che non ha trovato accesso-permesso, venga totalmente cancellato...
il comando deny ip any any non riesco a trovarlo nella mia configurazione...??
il router e' su dialer residenziale...con 2 PC e 1 Dreambox connessi
il comando deny ip any any non riesco a trovarlo nella mia configurazione...??
il router e' su dialer residenziale...con 2 PC e 1 Dreambox connessi
