ADSL con IP dinamico....
E' possibile all'interno delle access-list fare riferimento all'ip pubblico assegnato in quel momento? Ad esempio voglio creare regola di access-list anti ip-spoofing che mi blocchi sull'ingesso WAN eventuali ip sorgenti uguali al mio ip pubblico. Se l'ip fosse statico sarebbe semplicissimo... nel caso di ip dinamico è possibile fare una cosa del genere?
Grazie
riferimento a ip WAN dinamico in access list
Moderatore: Federico.Lagni
-
Roberto82
- Cisco power user
- Messaggi: 101
- Iscritto il: ven 21 ott , 2005 10:47 am
- Contatta:
le acl le applichi sulle interfaccie.
Ora, per prevenire che pacchetti arrivino dall'esterno con indirizzi sorgente quali le tue reti e/o gli indirizzi privati, devi applicare l'acl sull'interfaccia che dà verso Internet, nel verso esatto di transito.
access-list 101 deny ip 127.0.0.1 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
è solo un'esempio, non completo ovviamente.
...E vanno inserite sull'interfaccia che punta ad Internet, con verso IN.
Riguardo all'altra richiesta, del fatto dell'ip dell'adsl, salvo soluzioni migliori o esigenze particolari io escluderei tutto il pool che il provider utilizza nell'easy ip, ripeto, a meno di esigenze particolari........ma forse c'è un modo per fare proprio quello che chiedi, aspettiamo l'intervento degli altri e sapremo.
......Ad ogni modo mi sembra inutile inviarti dei pacchetti con sorgente il tuo ip.
Ora, per prevenire che pacchetti arrivino dall'esterno con indirizzi sorgente quali le tue reti e/o gli indirizzi privati, devi applicare l'acl sull'interfaccia che dà verso Internet, nel verso esatto di transito.
access-list 101 deny ip 127.0.0.1 0.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
è solo un'esempio, non completo ovviamente.
...E vanno inserite sull'interfaccia che punta ad Internet, con verso IN.
Riguardo all'altra richiesta, del fatto dell'ip dell'adsl, salvo soluzioni migliori o esigenze particolari io escluderei tutto il pool che il provider utilizza nell'easy ip, ripeto, a meno di esigenze particolari........ma forse c'è un modo per fare proprio quello che chiedi, aspettiamo l'intervento degli altri e sapremo.
......Ad ogni modo mi sembra inutile inviarti dei pacchetti con sorgente il tuo ip.
-
Haba
- Cisco fan
- Messaggi: 33
- Iscritto il: gio 18 mag , 2006 7:05 pm
Come si applicano le ACL lo so. La mia domanda infatti era proprio per limitare IP non leciti in ingresso. Ad una serie di ACL simili a quelle che hai indicato tu volevo aggiungere quella relativa ad un possibile ip sorgente uguale a quello destinazione. In passato alcune vulnerabilità degli stack tcp/ip prevedevano in ingresso un ip uguale a quello di destinazione...
