Pagina 1 di 1

domanda niubba su acls

Inviato: mar 10 giu , 2014 9:20 pm
da M4770
Salve, scusate se ho sbagliato la sezione per questa domanda.
Sto studiando per l'attestato ccna.
E mi sto incastrando sulle acl.
in pratica avendo 2 router collegati tra loro e un pc e un web server collegati su ogni server.
Allora su Router1(R1) collego pc1 e webserver1 e su Router2(R2) pc2 e webserver2,
ora se creo l'acl che vieta a pc1 di andare sul webserver2.
Con deny host pc1 server 80 eq e con a seguito permit any any (ho abbreviato il tutto).
e la metto in out sulla porta seriale che collega i router su r1.
Mi blocca anche l'accesso di pc2 su webserver1 e da webserver1 a webserver2,
non riesco a capire il perché.
Grazie in anticipo e scusate ancora per la domanda niubba.

Re: domanda niubba su acls

Inviato: mer 11 giu , 2014 8:16 am
da paolomat75
Posta il codice, se no è difficile vedere l'errore.

Paolo

Re: domanda niubba su acls

Inviato: mer 11 giu , 2014 11:24 am
da M4770
scusate non era proprio cosi, ma era come allegato nell'immagine
non so se si legge comunque se non si legge il codice che ho messo è
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 deny tcp any any
poi sulla seriale del router1
access-group 101 out
ora quello che non capisco e che se metto una regola in uscita perché diventa anche in entrata , cioe se provo a vedere il server web sul router 1 da un pc attaccato al router 2 non me lo fa vedere.
A questo punto a che serve la differenza tra in e out?
spero di essermi spiegato, e chiedo venia per la domanda sicuramente stupida, ma non riesco a capire.
grazie

Re: domanda niubba su acls

Inviato: gio 12 giu , 2014 10:54 am
da paolomat75
Ciao,
con

Codice: Seleziona tutto

access-list 101 deny tcp any any
blocchi tutto il traffico ad eccezione di

Codice: Seleziona tutto

access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
compreso le pagine di risposta dal server.

Paolo

Re: domanda niubba su acls

Inviato: gio 12 giu , 2014 11:42 am
da M4770
ah ok intanto grazie , e complimenti per il sito e per la sua gestione rispondere a un niubbo come me non e da tutti.
Non so se è corretto continuare qua un'altra domanda sempre inerente alle acl o aprire un altro post.
Ho provato ad implementare un established , a fine acl , quindi diventa access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80 established
, che ho letto da qualche parte che permetteva ai pacchetti di risposta di passare ,ma invece cosi scrivendo mi blocca tutto il traffico.
Potete dirmi come mai? e a questo punto per poter dare accesso al server0 da parte della lan 192.169 devo aggiungere alla access-list 101 permit tcp 192.169.1.0 0.0.0.255 host 192.168.1.2 eq 80 sempre sulla seriale 2 in out ?
Grazie ancora per la pazienza

Re: domanda niubba su acls

Inviato: gio 12 giu , 2014 1:17 pm
da paolomat75
Ciao,
premetto che non sono un moderatore comunque saranno contenti dei complimenti. Effettivamente è una bella risorsa (a parte che ora si riempi di spam).
Veniamo al tuo problema. L'ACL che devi implementare dovrebbe essere questa:

Codice: Seleziona tutto

access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 permit tcp host 192.168.1.2 eq 80 192.169.1.0 0.0.0.255 established
access-list 101 deny tcp any any
Sono sul lavoro perciò o poco tempo da dedicarti.
Sorry

Paolo

Re: domanda niubba su acls

Inviato: gio 12 giu , 2014 1:43 pm
da M4770
Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).

Re: domanda niubba su acls

Inviato: gio 12 giu , 2014 10:52 pm
da paolomat75
M4770 ha scritto:Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
L'opzione established dice di considerare i pacchetti che sono di connessione attive ( hanno il bit ACK o RST attivo). Nel tuo caso non passava perché bloccavi la richiesta di connessione che aveva il bit SYN attivo e la ACE non corrispondeva.

Spero di averti chiarito l'idea.

Paolo

Re: domanda niubba su acls

Inviato: ven 13 giu , 2014 10:58 am
da M4770
mm si + o - , scusa se faccio un sorta di punto per capire se ho capito.
Quindi l'opzione established , comunque non fa passare tutti i pacchetti ma solo quelli con l'ack a 1 (l'rst mi sfugge), quindi poi la regola seguente del deny any blocca tutto il resto.
Altra cosa che mi sfugge è l'ace.
Grazie ancora per la pazienza

Re: domanda niubba su acls

Inviato: ven 13 giu , 2014 1:03 pm
da paolomat75
ACE = access control entries, cioè le singole regole che formano una access list.
Per il resto confermo.

Ciao
Paolo

Re: domanda niubba su acls

Inviato: lun 16 giu , 2014 12:59 pm
da M4770
Grazie per il supporto, non sapevo davvero dove sbattere la testa, oltre che allo spigolo del muro di casa.
Ciao