Stranezza nella access-list

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Rispondi
digitel
Cisco fan
Messaggi: 62
Iscritto il: lun 09 feb , 2009 8:21 am

seguendo questa regola :


access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny tcp host 192.168.0.1 any
access-list 101 deny udp host 192.168.0.1 any
.
.
access-list 101 permit ip any any

vorrei permettere all'host 192.168.0.1 di effettuare solamente traffico uscente in porta 80 e bloccare qualsiasi altro tipo di traffico sia tcp che udp

In effetti qualsiasi connessione tcp che non sia la 80 viene bloccata
Continua a passare pero' tutto il traffico UDP

L'unica soluzione e' cambiare :

access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny tcp host 192.168.0.1 any
access-list 101 deny udp host 192.168.0.1 any
.
.
access-list 101 permit ip any any

in :

access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny ip host 192.168.0.1 any
.
.
access-list 101 permit ip any any

Chi mi sa spiegare perche ???

Grazie
Federico
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

La regola mi sembra scritta bene, si vede che ti è rimasto qualcosa di "sporco" nel router, potresti provare a writare la conf e riavviare. Altrimenti ci sono tutti i vari comandi clear da dare ma dipende cosa è rimasto "sporco".
Rizio
Si vis pacem para bellum
Top
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

anche a me pare scritto bene, ma cmq per come la vedo io la soluzione migliore è l'ultima forma che hai scritto:)
Top
Lucake
n00b
Messaggi: 18
Iscritto il: dom 02 dic , 2012 8:26 pm

...anche secondo me è giustissima,l'unica cosa attenzione ad applicarla correttamente(in o out) altrimenti il risultato è l'opposto....
Top
digitel
Cisco fan
Messaggi: 62
Iscritto il: lun 09 feb , 2009 8:21 am

Ok provo a fare un write e un riavvio (oppure un erase e ributto dentro tutto)
Anche la soluzione "deny ip host..." comunque mi funziona bene...

Ciao e grazie
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Il write erase e ricaricare la stessa conf non ti porta a nulla (a meno che tu non tema di aver commesso degli errori di battitura prima), mentre invece un riavvio ogni tanto aiuta anche i cisco (purtroppo).

Rizio
Si vis pacem para bellum
Top
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

effettivamente mi domando: ma dove l'hai applicata?
Top
digitel
Cisco fan
Messaggi: 62
Iscritto il: lun 09 feb , 2009 8:21 am

L'ho applicata alla Vlan1 dell'877 (192.168.0.254 interfaccia LAN) :

Ip access-group 101 in
Top
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

per curiosità che versione di ios hai? Magari c'è qualche baco.
Dove lavoro io di bachi sugli ios ne troviamo parecchi, a volte poi da cisco li sistemano e dopo l'upgrade ne troviamo di nuovi introdotti dal bugfix. Ormai il mio collega, quando in cisco lo sentono si mettono in malattia ;)

Ciao
CCNA Security,CCDP, CCNP R&S
Top
digitel
Cisco fan
Messaggi: 62
Iscritto il: lun 09 feb , 2009 8:21 am

(C870-ADVIPSERVICESK9-M), Version 12.4(15)T9
Top
Rispondi

Torna a “Configurazioni End User”