Porte di rete

[jericho_03]

ciao a tutti, 1 domanda... ho un 877, mi sapete dire come fare per limitare l'accesso al mio router per la gestione, alla sola LAN e bloccarlo dalla WAN (porte SSH e HTTP)?
Bisogna usare le ACL, direi, ma non ho trovato come...
grazie!!

[hashashin]

ciao,

allora prima crei le acl:

router(config)#ip access-list extended 101 deny tcp any any eq ssh
router(config)#ip access-list extended 101 deny tcp any any eq http
router(config)#ip access-list extended 101 permit ip any any

poi le applichi in ingresso alla interfaccia WAN:

router(config-int)#ip access-group 101 in

ed il gioco è fatto.

ciaooo

[Helix]

in quel modo blocchi tutto o mi sbaglio?non è meglio così?

router(config)#ip access-list extended 101 permit tcp RETE_LAN WILD_CARD any eq ssh
router(config)#ip access-list extended 101 permit tcp RETE_LAN WILD_CARD any eq http
router(config)#ip access-list extended 101 deny tcp any any eq ssh
router(config)#ip access-list extended 101 deny tcp any any eq http

ecc ecc...

al posto di any nei primi due statement si può mettere anche l'ip di management del router ma forse si incasina troppo poi.

[active]

Per limitare la LAN direi che le regole di helix sono buone. Vanno applicate pero' alla Vlan1 in ... se ho capito cio' che vuoi fare. Le due deny sono superflue perche' l'ultima regola implicita e' sempre deny ip any any

Per bloccare la WAN utilizzi le regole classiche per permettere il traffico vero l'esterno e bloccare quello verso l'interno (magari utilizzando le inspect)

[jericho_03]

Grazie!
Provo!

se ho capito cio' che vuoi fare.

vorrei accedere al router (con telnet o SSH o HTTP) soltanto dalla LAN e bloccare gli accessi dalla WAN (o limitarli ad indirizzi specifici, ma questo è un passo ulteriore... )

ancora grazie!

[hashashin]

ti sbagli perchè le regole che ho postato io bloccano solo il traffico che da internet (gliele ho fatte applicare in ingresso solo all'interfaccia WAN) è diretto verso le porte http ed ssh, infatti dopo i due deny c'è un permit ip any any che lascia passare tutto il resto.

ora da quello che ho capito io non centra la Vlan 1 perchè il nostro amico jericho (vedo che è anche un intenditore di serie tv!!) ha chiesto di bloccare il traffico proveniente da internet e non dalla LAN. per questo sulla VLan1 io nn mettere nessuna acl.

una cosa che mi sono scordato di mettere tra le regole è il deny verso la porta telnet (23), non si sa mai.

cmq c'è un modo più raffinato di filtrare gli accessi al router per la sua gestione e cioè creare delle acl dove decidere quali IP possono gestire l'877 e poi applicarle sotto le line vty 0 4 (che poi sarebbe il telnet), così:

router(config)#ip access-list 69 permit <Rete-Interna> <wildcard-rete-interna>
router(config)#ip access-list 69 deny any
router(config)#line vty 0 4
router(config-line)#ip access-class 69 in


così da qualsiasi interfaccia ci si provi a collegare in telnet o ssh sul router, solo gli ip permessi nella acl 69 potranno accedere.

per l'http il procedimento è lo stesso, in questo caso puoi usare l'acl usata per il telnet e poi applicarla al server http

router(config)#ip http access-class 69

ricordati però che per motivi di sicurezza viene sconsigliato l'utilizzo dei server http sui router cisco perchè (ahimè) sono pieni di vulnerabilità.

ciao a tutti

[active]

Effettivamente avevo capito qualcosa di piu complicato Si allora in realta' bastano effettivamente le regole di hashashin.

[jericho_03]

di nuovo grazie delle risposte!!
purtroppo non sono + riuscito a mettermi lì tranquillo 1 attimo e fare la conf...

(vedo che è anche un intenditore di serie tv!!)

in realtà il nick l'ho preso dal personaggio di un libro...

[jericho_03]

poi le applichi in ingresso alla interfaccia WAN:

router(config-int)#ip access-group 101 in

scusa... l'interfaccia è la DIALER oppure ATM??

io l'ho applicata alla dialer e funzia.

[active]

io l'ho applicata alla dialer e funzia.

Giusto

[hashashin]

ottimooooooooooooooo