Permettere ad un solo IP di andare su Internet

ruby · mar 18 mar , 2008 12:02 pm

Ciao a tutti , stò litigando con un router da un paio di giorni e vi chiedevo di dare un' occhiata a questa acl :

access-list 101 permit ip any host 192.168.xxx.xxx

se non sbaglio , gli sto dicendo di permettere a tutto il traffico di raggiungere l ' host specificato , no ?

ma così non funziona , non esce su internet ...

se sostituisco con:
access-list 101 permit tcp any any established .

funziona , ma ovviamente possono uscire tutti !
che posso fare ?

grazie.

Helix · mar 18 mar , 2008 12:18 pm

Cosa vorresti fare te esattamente? Postaci la conf e spiega quello che vuoi ottenere

ruby · mar 18 mar , 2008 12:42 pm

ciao , eccoti la config , l ' ho nascota in alcuni punti , cmq si capisce :

Current configuration : 3164 bytes
!
! Last configuration change at 12:32:55 GMT Tue Mar 18 2008
! NVRAM config last updated at 11:37:09 GMT Tue Mar 18 2008
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret 5 $1$CB3G$AoZaBeArQxPeEeCHdnKOE1
!
clock timezone GMT 1
clock summer-time GMT+1 recurring
no aaa new-model
ip subnet-zero
no ip source-route
ip name-server 208.67.222.222
ip name-server 208.67.220.220
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group ******
key *******
dns ********
wins *******
pool dynpool
acl 103
include-local-lan
netmask 255.255.255.0
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap isakmp authorization list **********
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
interface Ethernet0
ip address 192.168.***.*** 255.255.0.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
bandwidth 1280
ip address ***.***.***.*** 255.255.255.252
ip access-group 101 in
ip nat outside
crypto map dynmap
pvc 8/35
!
!
ip local pool dynpool ***.***.***.*** ***.***.***.***
ip local pool dynpool1 ***.***.***.***
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route ***.***.***.*** 255.255.255.0 Ethernet0 ***.***.***.***
ip route ***.***.***.*** 255.255.255.0 Ethernet0 ***.***.***.***
ip route ***.***.***.*** 255.255.255.0 Ethernet0 ***.***.***.***
no ip http server
no ip http secure-server
ip nat inside source list 101 interface ATM0.1 overload
ip nat inside source static tcp ***.***.***.*** 5900 interface ATM0.1 5900
!
!
logging trap debugging
logging facility local2
access-list 101 permit icmp any any
access-list 101 permit tcp host ***.***.***.*** host ***.***.***.*** eq 5900
access-list 101 permit ip host 192.168.xxx.xxx any
access-list 103 permit ip ***.***.***.*** ***.***.***.*** ***.***.***.*** ***.***.***.***
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
password *********************
login
length 20
transport preferred all
transport output all
stopbits 1
line vty 0 4
exec-timeout 120 0
password **********************
login
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
sntp server ***.***.***.***
!
end

io vorrei che l ' ip presente nella acl 101 , sia l ' unico che possa uscire su internet.

ruby · mar 18 mar , 2008 12:53 pm

ti aggiungo che ho provato a mettere alla fine della acl , la riga :

access-list 101 deny tcp any any eq www

e i pc vanno su internet ugualmente !

in azienda abbiamo un proxy , e non deve poter uscire nemmeno lui da questo router ...

Helix · mar 18 mar , 2008 12:58 pm

!
interface Ethernet0
ip address 192.168.***.*** 255.255.0.0
ip nat inside
hold-queue 100 out
!

Qui non è applicata alcuna acess list a quanto pare... prova a mettere

ip access-group 101 in

nella interfaccia ethernet e prova...sempre che non abbia detto una cavolata!!!

ruby · mar 18 mar , 2008 1:03 pm

la access-group 101 l ' ho messa nella atm0.1 .

non va bene messa lì ?

ruby · mar 18 mar , 2008 1:06 pm

ho messo la "ip access-group 101 in" nella ethernet ed ho perso la comunicazione col router

.

spetta che lo riavvio e metto una access-list che mi faccia passare ...

Helix · mar 18 mar , 2008 1:08 pm

No, a cosa servirebbe messa li in ingresso?

inoltre...

access-list 101 permit ip host 192.168.xxx.xxx any

applicandolo all'ATM è come se da fuori ti aspettassi traffico da quell'indirizzo RFC1918. Questo RFC impone la NON ruotabilità su internet di quelle classi di IP

ruby · mar 18 mar , 2008 1:22 pm

quindi dovrebbe proprio essere questo il problema ...

faccio una prova e ti faccio sapere ...

ruby · mar 18 mar , 2008 2:55 pm

niente da fare ...

se imposto l' access-group nella eth0 in ingresso perdo la comunicazione col router ...

ruby · mar 18 mar , 2008 3:07 pm

qual ' è l ' impostazione migliore per l ' access-group ?

nella eth0 , ok , ma in o out ?

Helix · mar 18 mar , 2008 3:38 pm

Ma l'hai tolta dall' ATM per caso?

ruby · mar 18 mar , 2008 3:51 pm

si certo , non ho lasciato quella riga nella atm0.1 .

mi diresti per favore , secondo te , perchè è meglio mettere l ' access-group nella eth0 invece che nella atm0.1 , e soprattutto il verso , in o out ?

Helix · mar 18 mar , 2008 3:58 pm

A te l'access list serve per accedere al router o per fare NAT?

ruby · mar 18 mar , 2008 4:16 pm

la mia esigenza è quella di far uscire solo 1 pc su internet e bloccare tutti gli altri.

avevo anche l ' esigenza di permettere di raggiungere un pc interno con VNC installato , da un unico IP Esterno , ma quello l ' ho risolto ...

Permettere ad un solo IP di andare su Internet

Login • Iscriviti