domanda niubba su acls

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

Salve, scusate se ho sbagliato la sezione per questa domanda.
Sto studiando per l'attestato ccna.
E mi sto incastrando sulle acl.
in pratica avendo 2 router collegati tra loro e un pc e un web server collegati su ogni server.
Allora su Router1(R1) collego pc1 e webserver1 e su Router2(R2) pc2 e webserver2,
ora se creo l'acl che vieta a pc1 di andare sul webserver2.
Con deny host pc1 server 80 eq e con a seguito permit any any (ho abbreviato il tutto).
e la metto in out sulla porta seriale che collega i router su r1.
Mi blocca anche l'accesso di pc2 su webserver1 e da webserver1 a webserver2,
non riesco a capire il perché.
Grazie in anticipo e scusate ancora per la domanda niubba.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Posta il codice, se no è difficile vedere l'errore.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

scusate non era proprio cosi, ma era come allegato nell'immagine
non so se si legge comunque se non si legge il codice che ho messo è
access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 deny tcp any any
poi sulla seriale del router1
access-group 101 out
ora quello che non capisco e che se metto una regola in uscita perché diventa anche in entrata , cioe se provo a vedere il server web sul router 1 da un pc attaccato al router 2 non me lo fa vedere.
A questo punto a che serve la differenza tra in e out?
spero di essermi spiegato, e chiedo venia per la domanda sicuramente stupida, ma non riesco a capire.
grazie
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
con

Codice: Seleziona tutto

access-list 101 deny tcp any any
blocchi tutto il traffico ad eccezione di

Codice: Seleziona tutto

access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
compreso le pagine di risposta dal server.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

ah ok intanto grazie , e complimenti per il sito e per la sua gestione rispondere a un niubbo come me non e da tutti.
Non so se è corretto continuare qua un'altra domanda sempre inerente alle acl o aprire un altro post.
Ho provato ad implementare un established , a fine acl , quindi diventa access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80 established
, che ho letto da qualche parte che permetteva ai pacchetti di risposta di passare ,ma invece cosi scrivendo mi blocca tutto il traffico.
Potete dirmi come mai? e a questo punto per poter dare accesso al server0 da parte della lan 192.169 devo aggiungere alla access-list 101 permit tcp 192.169.1.0 0.0.0.255 host 192.168.1.2 eq 80 sempre sulla seriale 2 in out ?
Grazie ancora per la pazienza
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao,
premetto che non sono un moderatore comunque saranno contenti dei complimenti. Effettivamente è una bella risorsa (a parte che ora si riempi di spam).
Veniamo al tuo problema. L'ACL che devi implementare dovrebbe essere questa:

Codice: Seleziona tutto

access-list 101 permit tcp host 192.168.1.3 host 192.169.1.1 eq 80
access-list 101 permit tcp host 192.168.1.2 eq 80 192.169.1.0 0.0.0.255 established
access-list 101 deny tcp any any
Sono sul lavoro perciò o poco tempo da dedicarti.
Sorry

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

M4770 ha scritto:Ciao, grazie anche a te , si un'ottima risorsa anche per chi come me si sta affacciando da poco in questo mondo.
Se ti è possibile appena hai 2 secondi di spiegarmi perché mi si bloccavano tutte le connessioni con l'established che avevo inserito io. Cosi da comprendere al meglio questa sessione di studio ,(cosi posso passare a quella successiva ^_^).
L'opzione established dice di considerare i pacchetti che sono di connessione attive ( hanno il bit ACK o RST attivo). Nel tuo caso non passava perché bloccavi la richiesta di connessione che aveva il bit SYN attivo e la ACE non corrispondeva.

Spero di averti chiarito l'idea.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

mm si + o - , scusa se faccio un sorta di punto per capire se ho capito.
Quindi l'opzione established , comunque non fa passare tutti i pacchetti ma solo quelli con l'ack a 1 (l'rst mi sfugge), quindi poi la regola seguente del deny any blocca tutto il resto.
Altra cosa che mi sfugge è l'ace.
Grazie ancora per la pazienza
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

ACE = access control entries, cioè le singole regole che formano una access list.
Per il resto confermo.

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
M4770
n00b
Messaggi: 12
Iscritto il: mar 10 giu , 2014 5:33 pm

Grazie per il supporto, non sapevo davvero dove sbattere la testa, oltre che allo spigolo del muro di casa.
Ciao
Rispondi