Dato che a casa mia ho messo su una rete cogliendo l'occasione per esercitarmi, ultimamente sto smanettando con le acl.
Queste sono le mie acl (per alcune parti ho preso spunto dai vostri thread, quindi ne approfitto per ringraziarvi):
Codice: Seleziona tutto
access-list 98 remark ##############################################################
access-list 98 remark ### ACL PER TELNET DA VTY ####################################
access-list 98 permit xxx.xxx.xxx.xxx
access-list 98 permit 192.168.1.0 0.0.0.255
access-list 98 deny any log
access-list 99 remark ##############################################################
access-list 99 remark ### ACL PER PAT E NAT ########################################
access-list 99 permit 192.168.1.0 0.0.0.255
access-list 101 remark #############################################################
access-list 101 remark ### ACL PER TRAFFICO DA INTERNET AL ROUTER ##################
access-list 101 remark *** VARI ****************************************************
access-list 101 permit tcp any any established
access-list 101 permit tcp host xxx.xxx.xxx.xxx any eq telnet
access-list 101 remark *** RISOLUZIONE NOMI DNS ************************************
access-list 101 permit udp host 195.210.91.100 eq domain any
access-list 101 permit udp host 193.70.192.100 eq domain any
access-list 101 remark *** ICMP ****************************************************
access-list 101 permit icmp host xxx.xxx.xxx.xxx any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any ttl-exceeded
access-list 101 remark *** VPN *****************************************************
access-list 101 permit udp host yyy.yyy.yyy.yyy eq isakmp any
access-list 101 permit udp host yyy.yyy.yyy.yyy eq non500-isakmp any
access-list 101 permit tcp host yyy.yyy.yyy.yyy eq 10000 any
access-list 101 permit esp host yyy.yyy.yyy.yyy any
access-list 101 remark *** SKYPE ***************************************************
access-list 101 permit tcp any any eq 20344
access-list 101 permit udp any any eq 20344
access-list 101 remark *** EMULE ***************************************************
access-list 101 permit tcp any any eq 20300
access-list 101 permit udp any any eq 20400
access-list 101 remark *** TORRENT *************************************************
access-list 101 permit tcp any any eq 20500
access-list 102 remark #############################################################
access-list 102 remark ### ACL PER TRAFFICO DALLA LAN AL ROUTER ####################
access-list 102 remark *** LAN IP POOL *********************************************
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
Le acl sono associate come segue:
98 = vty IN
99 = NAT
101 = dialer (è un adsl) IN
102 = vlan IN
Come vedete ho aperto qualche porta per il p2p e per la vpn, inoltre ho permesso un po di roba (telnet e icmp) dall'indirizzo xxx.xxx.xxx.xxx dove lavoro.
Il dubbio che mi viene è come ha fatto l'access list 98 (quella per le vty) a loggare un deny da parte di un 151.68.qualcosa. Quell'accesso non avrebbe dovuto essere bloccato a priori dall'acl 101?
EDIT: aggiungo, se può essere utile nell'analisi, che l'ip bloccato è un ip della stessa subnet (151.68.0.0) di quello che ha negoziato il mio dialer.
Grazie,
Ciao!