ACL inbound o outbound

Tutto ciò che ha a che fare con le reti

Moderatore: Federico.Lagni

Rispondi
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

Ho iniziato a studiare le ACL, e devo confessare che sto incontrato qualche difficoltà nell'inquadrare alcuni concetti.
Tanto per fare un esempio, tra le tre p delle ACL c'è la direzione, inbound o outbound: in un primo momento ho fatto il paragone con le telefonate associando in con le chiamate ricevute e out con quelle effettuate. Ma a quanto pare nel caso del router non è proprio così, perché stando agli esempi riportati sul libro se voglio permettere a un gruppo di host di navigare su internet definendo un'ACL, sull'interfaccia del router devo mettere IN. Ma a prima vista non sarebbe più logico mettere out?? Perché IN?
Grazie in anticipo per le risposte
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Int 1 Wan --Router----Int 2 Lan<-------Traffico Host

Il traffico internet degli host entra nell'interfaccia 2 Lan ed esce attraverso la wan

Il traffico di ritorno entra nella interfaccia 1 Wan ed esce verso gli host attraverso la Int 2 Lan .

Spero che ti chiarisca il concetto.. sono stato molto conciso .
CCNA 640-802
CCNP SWITCH 642-813
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

Sul libro viene riportato questo esempio:


access-list 150 su interfaccia s0/0/0 di R3 così configurata:

10 deny tcp host 192.168.30.12 any eq telnet

20 permit ip any any


Il libro dice che nonostnate lo statement indichi che quel host non possa fare telnet, ciò avviene perchè l'access list è stata settata come IN, mentre doveva essere settata come outbound. Ma se il traffico proviene da quell'host, perché dovrebbe essere Out e non IN??

Sono confuso!
Avatar utente
rain3
Network Emperor
Messaggi: 266
Iscritto il: gio 31 lug , 2008 4:55 pm
Località: Battipaglia (SA)

Metti tutto il diagramma di rete... probabilmente il traffico dell'host non entra da quella interfaccia ma vi esce o meglio esso e' collegato allo stesso router al quale applichi l'acl per cui la direzione sulla s0 e out non in .


Hostesterni---------In----> s0<-Out-router---lan<--In-Host
CCNA 640-802
CCNP SWITCH 642-813
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
Avatar utente
emiliano
Network Emperor
Messaggi: 280
Iscritto il: lun 19 nov , 2012 11:44 am

Braveheart84 ha scritto:Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
Faccamo così, imaggina che il router abbia un cervello interno che esegue il controllo delle ACL, INBOUND indica il traffico che viene generato dalle interfacce (LAN o WAN che siano) verso il cervello del router, OUTBOUND indica il traffico che va dal cervello del router in USCITA verso le interfacce...
Cerco di chiarire meglio, se vuoi applicare una ACL all'interfaccia LAN per stabilire ad esempio chi può navigare o chi no la applicherai all'ipotetica interfaccia Fa0 direzione INBOUND, se hai un server web interno e crei una ACL che filtri quali ip possano accedere al web server interno e vuoi che il filtraggio venga fatto in ingresso sull'interfaccia WAN applicherai la ACL all'interfaccia ATM0 con direzione INBOUND.
Se lo stesso filtraggio sul server web vuoi applicarlo all'interfaccia LAN cui è connesso il server la ACL (opportunamente modificata) l'applicherai alla FA0 con direzione OUTBOUND.
Tuttavia spero vivamente che tu stia studiando da autodidatta perchè se stai frequentando un' Accademy e il tuto tutor non è risucito a chiarirti il concetto c'è qualcosa che non va ;)
- KEEP CALM AND CARRY ON -

CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

Emiliano, sto studiando in un Academy, e purtroppo, ha detta anche degli altri corsisti, da quando il nostro istruttore è stato spostato al corso CCNP (che sto seguendo), la qualità è un po' calata. Effettivamente cercherò ulteriori chiarimenti dal mio vecchio istruttore
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Braveheart84 ha scritto:Emiliano, sto studiando in un Academy, e purtroppo, ha detta anche degli altri corsisti, da quando il nostro istruttore è stato spostato al corso CCNP (che sto seguendo), la qualità è un po' calata. Effettivamente cercherò ulteriori chiarimenti dal mio vecchio istruttore
Se un istruttone per un corso CCNP non riesce a spiegarti le ACL IN/OUT (che poi sono CCNA) non è idoneo ad insegnare (visto che non sei l'unico che si lamenta da quanto ho capito).
Fassi in voi farei reclamo all'Academy di cambiarvi insegnante (visto anche i costi dei corsi).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

No no, aspetta Paolo: noi abbiamo iniziato il CCNA con un istruttore BRAVISSIMO (tecnico di BT) che ora insegna al CCNP insieme all'istruttice (anch'essa molto brava). Nel CCNA ora abbiamo l'istruttore che prima faceva solo laboratorio e a una certa in poi ha iniziato a spiegarci pure teoria. Secondo me non lavorando nel settore, gli manca quel quid rispetto all'altro.
Braveheart84
Cisco enlightened user
Messaggi: 170
Iscritto il: gio 01 set , 2011 8:43 pm

emiliano ha scritto:
Braveheart84 ha scritto:Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
Faccamo così, imaggina che il router abbia un cervello interno che esegue il controllo delle ACL, INBOUND indica il traffico che viene generato dalle interfacce (LAN o WAN che siano) verso il cervello del router, OUTBOUND indica il traffico che va dal cervello del router in USCITA verso le interfacce...
Cerco di chiarire meglio, se vuoi applicare una ACL all'interfaccia LAN per stabilire ad esempio chi può navigare o chi no la applicherai all'ipotetica interfaccia Fa0 direzione INBOUND, se hai un server web interno e crei una ACL che filtri quali ip possano accedere al web server interno e vuoi che il filtraggio venga fatto in ingresso sull'interfaccia WAN applicherai la ACL all'interfaccia ATM0 con direzione INBOUND.
Se lo stesso filtraggio sul server web vuoi applicarlo all'interfaccia LAN cui è connesso il server la ACL (opportunamente modificata) l'applicherai alla FA0 con direzione OUTBOUND.
Tuttavia spero vivamente che tu stia studiando da autodidatta perchè se stai frequentando un' Accademy e il tuto tutor non è risucito a chiarirti il concetto c'è qualcosa che non va ;)
Grazie per la spiegazione, cmq non capisco per quale motivo se metto il web su interfaccia WAN va settatao IN, mentre sulla Lan Out

edit. Forse ho capito: nel caso del server web su FA0 si mette Out poiché il traffico che tenta di accedervi passa per il router (nel caso siano degli host di un altra rete)
roton
Cisco fan
Messaggi: 39
Iscritto il: mer 27 mar , 2013 9:12 am

Regole semplici da seguire per decidere se applicare le ACL in o out:

1- Sulla topologia della rete, disegna il traffico che vuoi bloccare/permettere con l'ACL (traccia una linea che parte dall'host sorgente e arriva all'host destinazione)

La linea tracciata passerà ovviamente dal router su cui devi applicare l'ACL (arriva su una interfaccia del router e parte da un'altra interfaccia del router)

2- Se applichi l'ACL sull'interfaccia dove la linea arriva sul router allora devi mettere IN

3- Se applichi l'ACL sull'interfaccia dove la linea lascia il router allora devi mettere OUT

Riassunto. Il punto di osservazione del traffico è sempre e solo il router: se il traffico entra nel router è IN, se esce dal router è OUT
Rispondi