cisco 837 ACL

[dhcp33]

devo regolare l'accesso a 3 pc in kiosk mode che devono accedere solo ad 1 ip dove gira un servizio web. sulla stessa rete ho altri pc che non devono avere vincoli.

questo è ciò che ho partorito, è corretto?

Codice: Seleziona tutto

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit udp 172.16.0.0 0.0.0.255 host 208.67.220.220
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 permit udp 172.16.0.0 0.0.0.255 host 208.67.222.222

access-list 104 permit tcp any any eq 53
access-list 104 permit udp any any 

access-list 104 deny tcp 172.16.0.0 0.0.0.255 any
access-list 104 deny tcp 172.16.0.0 0.0.0.255 any

access-list 104 permit tcp 172.16.1.0 0.0.0.255 any
access-list 104 permit udp 172.16.1.0 0.0.0.255 any

in pratica da 172.16.0.2 a ipotetici .255 tengo i kiosk
mentre su 172.16.1.0 tengo i restanti pc senza vincoli.

ho permesso si accesso al web che a risoluzione dns, solo tramite i server di open dns.

grazie per l'aiuto

[Wizard]

Fatte così hanno poco senso.
Falle così:

Codice: Seleziona tutto

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53
access-list 104 deny ip host IP_LIMITATO any
access-list 104 permit ip 172.16.0.0 0.0.0.255 any
access-list 104 deny ip 172.16.0.0 0.0.0.255 any log

[dhcp33]

grazie mille.

se ho capito bene,se ho 3 kiosk devo fare 3 volte questo comando con ip di ogni kiosk

access-list 104 deny ip host IP_LIMITATO any


per eventualmente caricarle tramite tftp, posso semplicemente incollarle alla fine della config scaricata dal router e riupparla?


è normale che se scarico la config e la riuppo tale e quale, non mi riconosca dei comandi ?

[Wizard]

Intanto cosa intendi per "kiosk"?
Le acl non le caricare via tftp ma direttamente da "conf t" in telnet o console.

[dhcp33]

per kiosk intendo postazione internet pubblica limitata.
la limitazione può essere su appunto i siti web visitabili o sulle azioni eseguibili sulla macchina.

nel mio caso (win98) explorer non è attivato, CTRL+ALT+CANC sono disattivati e gira solo IE in modalità -k. i kiosk hanno ip statici.

mi volevo tutelare nel caso qualcuno riesca a ridirigere IE al di fuori dell'url preimpostato.

invece di impazzire per blindare del tutto la macchina, la cosa più semplice è agire sull'acl a monte.

quindi mi confermi una riga per ogni kiosk da "limitare"?

ora quindi posso evitare di usare una rete 172.16.1.0 da riservare in dhcp agli host liberi. farò partire il pool dhcp ad esempio da 172.16.0.127 in poi..

[Wizard]

- Metti delle regole dove inserisci come ip sorgente la rete e come destinazione i siti\servizi che possono vedere tutti.

- Metti poi le regole per le macchine che possono fare tutto

- Alla fine metti un "deny ip any any log"

[dhcp33]

forse mi sono spiegato male.

vorrei che:

172.16.0.2
172.16.0.3
172.16.0.4
..
172.16.0.254

possano vedere solo pagine web (80, 8080, 443) dal sito su 80.76.67.102
ovviamente servirà anche accesso alla 53 sugli OpenDNS



mentre da 172.16.1.1 in poi può accedere a tutto.

ora interpreto il tuo consiglio:

Codice: Seleziona tutto

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www

permetto a tutti quelli della 172.16.0.0 di andare sul sito web 80.76.67.102 tramite tcp

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53

permetto l'accesso ai 2 dns a tutta la 172.16.0.0

access-list 104 deny ip host IP_LIMITATO any

blocco al determinato host tutto (eventualemnte lo ripeto per ogni host fino ai 254??)

access-list 104 permit ip 172.16.0.0 0.0.0.255 any

permetto tutto a tutti


access-list 104 deny ip 172.16.0.0 0.0.0.255 any log

blocco tutto a tutti

provandola non sortiva effetti di blocco

[dhcp33]

- Metti delle regole dove inserisci come ip sorgente la rete e come destinazione i siti\servizi che possono vedere tutti.

- Metti poi le regole per le macchine che possono fare tutto

- Alla fine metti un "deny ip any any log"

così?

Codice: Seleziona tutto

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53

access-list 104 deny ip host 172.16.0.2 any log
access-list 104 deny ip host 172.16.0.3 any log
access-list 104 deny ip host 172.16.0.4 any log

access-list 104 permit tcp 172.16.0.0 0.0.0.255 any

deny ip any any log

permetto a tutti se la destinazione è 80.76.67.102
permetto a tutti le interrogazioni dns
blocco ai kiosk tutto (se il controllo giunge qui significa che hanno interrogato ip diverso da 80.76.67.102)

permetto tutto a tutti (evidentemente sono i tutti tranne i 3 host sopra)

blocco tutto il resto. (non ne ho ancora capito il senso)


tutto sbagliato??

[Wizard]

Dovrebbe essere corretta la ultima versione delle acl.

[Maxwell]

Dovrebbe essere corretta la ultima versione delle acl.

Ma non c'e' ridondanza ? Voglio dire che senso hanno le prime tre se poi in fondo c'e'

access-list 104 permit tcp 172.16.0.0 0.0.0.255 any

alla fine quella 'versione' di acl non equivale alla stessa senza le prima 3 ?

[Wizard]

access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 80.76.67.102 eq www
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.220.220 eq 53
access-list 104 permit tcp 172.16.0.0 0.0.0.255 host 208.67.222.222 eq 53

access-list 104 deny ip host 172.16.0.2 any log
access-list 104 deny ip host 172.16.0.3 any log
access-list 104 deny ip host 172.16.0.4 any log

access-list 104 permit tcp 172.16.0.0 0.0.0.255 any

access-list 104 deny ip any any log

Con le prime 3 regole dici che tutti possono accedere al sito 80.76.67.102.
Con le seconde 3 dici e logghi che 3 ip prcisi non possono fare nient antro che vedere quel sito scritto prima.
Come la penultima acl permetti agli altri di fare quello che vogliono verso le porte tcp.
Con la ultima neghi tutto il resto e lo logghi!