access list impazzite

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

Ciao a tutti,volevo un'informazione sulle access-list perchè mi stanno facendo impazzire,allora premetto ke lavoro su 2 router cisco 2610 con ios 12.3(15) e uno switch della serie 2900,ho ho creato una rete 190.168.0.0 255.255.255.0
ed una 172.16.50.0 255.255.255.0 non direttamente collegate ma comunicano tra loro via rip,dopo ho creato un'access-list sull'interfaccia 190.168.0.1 in inbound così:
access-list 10 deny 172.16.50.0 0.0.0.255
access-list 10 permit any
naturalemte la assegno all'interfaccia con:
ip access-group 10 in

poi provo a pingare dall'interfaccia 172.16.50.1 all'interfaccia 190.168.0.1 e continua a farmi pingare tranquillamente.........
ma come mai?? se avete bisogno di + info fatemi sapere così mi spiego meglio.Grazie!!!! :D
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Intanto configure la acl in modo esteso poi vedi se la acl matcha...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

scusami l'ignoranza in che senso matcha??
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

sh fai "sh access-l xxx" vedi i match x ogni riga di acl
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

ok allora:
10 deny 172.16.50.0 wildcard bits 0.0.0.255
20 permit any (180matches)
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

ok allora:
10 deny 172.16.50.0 wildcard bits 0.0.0.255
20 permit any (180matches)
cioè praticamente il permit any mi fa passare tutto?Cmq ho provato anche a levare il permit any così ce il deny any implicito che dovrebbe bloccare tutto ma non cambia niente!!!!!!!!!
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Codice: Seleziona tutto

no access-l 10
access-l 110 deny ip 192.168.0.0 0.0.0.255 172.16.50.0 0.0.0.255
access-l 110 permit p 192.168.0.0 0.0.0.255 any
Poi applicala alla interfaccia eth del router
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

fatto comunque è 190.168.0.0 non 192.168.0.0 giusto?
non funzionano come mi hai detto tu.
Top
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

Tu neghi in inbound una classe IP che ti esce in outbound dalla eth...
Manipolatore di bit.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Si, scusa, le reti mettile a posto.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

ALLORA continua a matcharmi la seconda riga quella del permit any......
cmq ho provato pure a cambiare la re 172.16.40.0 in 170.16.0.0 per evitare conflitti ip ma non cambia niente...........
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Mhm...prova a farci vedere la config completa...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

router1

Current configuration : 913 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname toti
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 10
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 190.168.0.1 255.255.255.0
ip access-group 110 in
half-duplex
!
interface Serial0/0
ip address 170.16.0.1 255.255.255.0
no ip mroute-cache
clock rate 56000
no fair-queue
!
interface Serial0/1
no ip address
!
router rip
network 170.16.0.0
network 190.168.0.0
!
no ip http server
ip classless
!
!
access-list 110 deny ip 190.168.0.0 0.0.0.255 172.16.50.0 0.0.0.255
access-list 110 permit ip 190.168.0.0 0.0.0.255 any
banner login ^CC Attenzione accesso consentito solo agli autorizzati!!!! ^C
banner motd ^CC Attenzione siete nel router TOTI! ^C
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
end

Router2

urrent configuration : 760 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname toti2
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 172.16.50.1 255.255.255.0
half-duplex
!
interface Serial0/0
no ip address
shutdown
!
interface BRI0/0
no ip address
shutdown
!
interface Serial0/1
ip address 170.16.0.2 255.255.255.0
!
router rip
network 170.16.0.0
network 172.16.0.0
!
no ip http server
ip classless
!
!
banner login ^C Attenzione accesso consentito solo agli autorizzati!!!! ^C
banner motd ^C Attenzione siete nel router TOTI2! ^C
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
end

Ho già sostituito la rete 172.16.40.0 con 170.16.0.0 in queste sh runn !
Top
salv83
Cisco fan
Messaggi: 30
Iscritto il: lun 04 giu , 2007 4:34 pm

potrebbe essere un problema di ios?comunque conviene sempre salvare e riavviare quando si creano delle acl o cmq dovrebbero funzionare lo stesso?
Top
accapoebasta
n00b
Messaggi: 14
Iscritto il: ven 17 ago , 2007 6:19 pm
Località: toscana

....poi provo a pingare dall'interfaccia 172.16.50.1 all'interfaccia 190.168.0.1 e continua a farmi pingare tranquillamente....

se ho capito bene tu dalla net 172.16.50.0/24 non vuoi raggiungere la 190.168.0.0/24;
se è così la acl la devi applicare sulla eth del router toti2 in IN
in generale le acl per lavorare bene vanno applicate il + vicino possibile alla sorgente del traffico da matchare.
Top
Rispondi

Torna a “Configurazioni”