Salve, scusate se ho sbagliato la sezione per questa domanda.
Sto studiando per l'attestato ccna.
E mi sto incastrando sulle acl.
in pratica avendo 2 router collegati tra loro e un pc e un web server collegati su ogni server.
Allora su Router1(R1) collego pc1 e webserver1 e su Router2(R2) pc2 e webserver2,
ora se creo l'acl che vieta a pc1 di andare sul webserver2.
Con deny host pc1 server 80 eq e con a seguito permit any any (ho abbreviato il tutto).
e la metto in out sulla porta seriale che collega i router su r1.
Mi blocca anche l'accesso di pc2 su webserver1 e da webserver1 a webserver2,
non riesco a capire il perché.
Grazie in anticipo e scusate ancora per la domanda niubba.
domanda niubba su acls
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Posta il codice, se no è difficile vedere l'errore.
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 12
- Iscritto il: mar 10 giu , 2014 5:33 pm
scusate non era proprio cosi, ma era come allegato nell'immagine
non so se si legge comunque se non si legge il codice che ho messo è
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 deny tcp any any
poi sulla seriale del router1
access-group 101 out
ora quello che non capisco e che se metto una regola in uscita perché diventa anche in entrata , cioe se provo a vedere il server web sul router 1 da un pc attaccato al router 2 non me lo fa vedere.
A questo punto a che serve la differenza tra in e out?
spero di essermi spiegato, e chiedo venia per la domanda sicuramente stupida, ma non riesco a capire.
grazie
non so se si legge comunque se non si legge il codice che ho messo è
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 deny tcp any any
poi sulla seriale del router1
access-group 101 out
ora quello che non capisco e che se metto una regola in uscita perché diventa anche in entrata , cioe se provo a vedere il server web sul router 1 da un pc attaccato al router 2 non me lo fa vedere.
A questo punto a che serve la differenza tra in e out?
spero di essermi spiegato, e chiedo venia per la domanda sicuramente stupida, ma non riesco a capire.
grazie
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
con blocchi tutto il traffico ad eccezione di compreso le pagine di risposta dal server.
Paolo
con
Codice: Seleziona tutto
access-list 101 deny tcp any any
Codice: Seleziona tutto
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 12
- Iscritto il: mar 10 giu , 2014 5:33 pm
ah ok intanto grazie , e complimenti per il sito e per la sua gestione rispondere a un niubbo come me non e da tutti.
Non so se è corretto continuare qua un'altra domanda sempre inerente alle acl o aprire un altro post.
Ho provato ad implementare un established , a fine acl , quindi diventa access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80 established
, che ho letto da qualche parte che permetteva ai pacchetti di risposta di passare ,ma invece cosi scrivendo mi blocca tutto il traffico.
Potete dirmi come mai? e a questo punto per poter dare accesso al server0 da parte della lan 192.169 devo aggiungere alla access-list 101 permit tcp 192.169.1.0 0.0.0.255 host 192.168.1.2 eq 80 sempre sulla seriale 2 in out ?
Grazie ancora per la pazienza
Non so se è corretto continuare qua un'altra domanda sempre inerente alle acl o aprire un altro post.
Ho provato ad implementare un established , a fine acl , quindi diventa access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80 established
, che ho letto da qualche parte che permetteva ai pacchetti di risposta di passare ,ma invece cosi scrivendo mi blocca tutto il traffico.
Potete dirmi come mai? e a questo punto per poter dare accesso al server0 da parte della lan 192.169 devo aggiungere alla access-list 101 permit tcp 192.169.1.0 0.0.0.255 host 192.168.1.2 eq 80 sempre sulla seriale 2 in out ?
Grazie ancora per la pazienza
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
premetto che non sono un moderatore comunque saranno contenti dei complimenti. Effettivamente è una bella risorsa (a parte che ora si riempi di spam).
Veniamo al tuo problema. L'ACL che devi implementare dovrebbe essere questa:
Sono sul lavoro perciò o poco tempo da dedicarti.
Sorry
Paolo
premetto che non sono un moderatore comunque saranno contenti dei complimenti. Effettivamente è una bella risorsa (a parte che ora si riempi di spam).
Veniamo al tuo problema. L'ACL che devi implementare dovrebbe essere questa:
Codice: Seleziona tutto
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 permit tcp host 192.168.1.2 eq 80 192.169.1.0 0.0.0.255 established
access-list 101 deny tcp any any
Sorry
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 12
- Iscritto il: mar 10 giu , 2014 5:33 pm
Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
L'opzione established dice di considerare i pacchetti che sono di connessione attive ( hanno il bit ACK o RST attivo). Nel tuo caso non passava perché bloccavi la richiesta di connessione che aveva il bit SYN attivo e la ACE non corrispondeva.M4770 ha scritto:Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
Spero di averti chiarito l'idea.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 12
- Iscritto il: mar 10 giu , 2014 5:33 pm
mm si + o - , scusa se faccio un sorta di punto per capire se ho capito.
Quindi l'opzione established , comunque non fa passare tutti i pacchetti ma solo quelli con l'ack a 1 (l'rst mi sfugge), quindi poi la regola seguente del deny any blocca tutto il resto.
Altra cosa che mi sfugge è l'ace.
Grazie ancora per la pazienza
Quindi l'opzione established , comunque non fa passare tutti i pacchetti ma solo quelli con l'ack a 1 (l'rst mi sfugge), quindi poi la regola seguente del deny any blocca tutto il resto.
Altra cosa che mi sfugge è l'ace.
Grazie ancora per la pazienza
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
ACE = access control entries, cioè le singole regole che formano una access list.
Per il resto confermo.
Ciao
Paolo
Per il resto confermo.
Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)