domanda niubba su acls

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

domanda niubba su acls

Postby M4770 » Tue 10 Jun , 2014 9:20 pm

Salve, scusate se ho sbagliato la sezione per questa domanda.
Sto studiando per l'attestato ccna.
E mi sto incastrando sulle acl.
in pratica avendo 2 router collegati tra loro e un pc e un web server collegati su ogni server.
Allora su Router1(R1) collego pc1 e webserver1 e su Router2(R2) pc2 e webserver2,
ora se creo l'acl che vieta a pc1 di andare sul webserver2.
Con deny host pc1 server 80 eq e con a seguito permit any any (ho abbreviato il tutto).
e la metto in out sulla porta seriale che collega i router su r1.
Mi blocca anche l'accesso di pc2 su webserver1 e da webserver1 a webserver2,
non riesco a capire il perché.
Grazie in anticipo e scusate ancora per la domanda niubba.
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm

Re: domanda niubba su acls

Postby paolomat75 » Wed 11 Jun , 2014 8:16 am

Posta il codice, se no è difficile vedere l'errore.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2884
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: domanda niubba su acls

Postby M4770 » Wed 11 Jun , 2014 11:24 am

scusate non era proprio cosi, ma era come allegato nell'immagine
non so se si legge comunque se non si legge il codice che ho messo è
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 deny tcp any any
poi sulla seriale del router1
access-group 101 out
ora quello che non capisco e che se metto una regola in uscita perché diventa anche in entrata , cioe se provo a vedere il server web sul router 1 da un pc attaccato al router 2 non me lo fa vedere.
A questo punto a che serve la differenza tra in e out?
spero di essermi spiegato, e chiedo venia per la domanda sicuramente stupida, ma non riesco a capire.
grazie
Attachments
Diapositiva1.JPG
Diapositiva1.JPG (42.67 KiB) Viewed 5751 times
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm

Re: domanda niubba su acls

Postby paolomat75 » Thu 12 Jun , 2014 10:54 am

Ciao,
con
Code: Select all
access-list 101 deny tcp any any
blocchi tutto il traffico ad eccezione di
Code: Select all
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
compreso le pagine di risposta dal server.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2884
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: domanda niubba su acls

Postby M4770 » Thu 12 Jun , 2014 11:42 am

ah ok intanto grazie , e complimenti per il sito e per la sua gestione rispondere a un niubbo come me non e da tutti.
Non so se è corretto continuare qua un'altra domanda sempre inerente alle acl o aprire un altro post.
Ho provato ad implementare un established , a fine acl , quindi diventa access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80 established
, che ho letto da qualche parte che permetteva ai pacchetti di risposta di passare ,ma invece cosi scrivendo mi blocca tutto il traffico.
Potete dirmi come mai? e a questo punto per poter dare accesso al server0 da parte della lan 192.169 devo aggiungere alla access-list 101 permit tcp 192.169.1.0 0.0.0.255 host 192.168.1.2 eq 80 sempre sulla seriale 2 in out ?
Grazie ancora per la pazienza
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm

Re: domanda niubba su acls

Postby paolomat75 » Thu 12 Jun , 2014 1:17 pm

Ciao,
premetto che non sono un moderatore comunque saranno contenti dei complimenti. Effettivamente è una bella risorsa (a parte che ora si riempi di spam).
Veniamo al tuo problema. L'ACL che devi implementare dovrebbe essere questa:
Code: Select all
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 permit tcp host 192.168.1.2 eq 80 192.169.1.0 0.0.0.255 established
access-list 101 deny tcp any any


Sono sul lavoro perciò o poco tempo da dedicarti.
Sorry

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2884
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: domanda niubba su acls

Postby M4770 » Thu 12 Jun , 2014 1:43 pm

Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm

Re: domanda niubba su acls

Postby paolomat75 » Thu 12 Jun , 2014 10:52 pm

M4770 wrote:Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).


L'opzione established dice di considerare i pacchetti che sono di connessione attive ( hanno il bit ACK o RST attivo). Nel tuo caso non passava perché bloccavi la richiesta di connessione che aveva il bit SYN attivo e la ACE non corrispondeva.

Spero di averti chiarito l'idea.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2884
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: domanda niubba su acls

Postby M4770 » Fri 13 Jun , 2014 10:58 am

mm si + o - , scusa se faccio un sorta di punto per capire se ho capito.
Quindi l'opzione established , comunque non fa passare tutti i pacchetti ma solo quelli con l'ack a 1 (l'rst mi sfugge), quindi poi la regola seguente del deny any blocca tutto il resto.
Altra cosa che mi sfugge è l'ace.
Grazie ancora per la pazienza
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm

Re: domanda niubba su acls

Postby paolomat75 » Fri 13 Jun , 2014 1:03 pm

ACE = access control entries, cioè le singole regole che formano una access list.
Per il resto confermo.

Ciao
Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2884
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: domanda niubba su acls

Postby M4770 » Mon 16 Jun , 2014 12:59 pm

Grazie per il supporto, non sapevo davvero dove sbattere la testa, oltre che allo spigolo del muro di casa.
Ciao
M4770
n00b
 
Posts: 12
Joined: Tue 10 Jun , 2014 5:33 pm


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 1 guest