Salve a tutti.
Avrei una piccola difficoltà nella configurazione di alcune access-list su un CISCO 3600.
access-list 103 permit tcp any host IPSERVER eq 5060
access-list 103 deny ip any any
questa è la mia access-list riguardante un server che gestisce comunicazioni VOIP. Funziona tutto correttamente in ingresso, tutti i pacchetti vengono filtrati e passano quelli diretti verso la porta tcp 5060, ma in uscita quel server non riesce a fare nulla, neanche un ping. A me serve che in uscita sia funzionante al 100%.
Grazie
ACL Problema in uscita
Moderatore: Federico.Lagni
-
Helix
- Messianic Network master
- Messaggi: 1175
- Iscritto il: mar 04 dic , 2007 6:45 pm
- Località: Frosinone
- Contatta:
se aggiungi uno statement:
access-list 103 permit tcp any host IPSERVER eq 5060
access-list 103 permit tcp host IP_SERVER any
access-list 103 deny ip any any
dovrebbe andare
access-list 103 permit tcp any host IPSERVER eq 5060
access-list 103 permit tcp host IP_SERVER any
access-list 103 deny ip any any
dovrebbe andare
---
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
-
crashboy
- Cisco fan
- Messaggi: 26
- Iscritto il: mer 30 ago , 2006 3:59 pm
Grazie per la risposta.
Purtroppo continua a non andare. Preciso la mia conf sulla seriale :
interface Serial0/0.1 point-to-point
ip address x.x.x.x 255.255.255.192
ip access-group 103 in
ip access-group 103 out
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili.
Credo che sia l'esigenza più comune
Grazie grante davvero per la risposta.
Purtroppo continua a non andare. Preciso la mia conf sulla seriale :
interface Serial0/0.1 point-to-point
ip address x.x.x.x 255.255.255.192
ip access-group 103 in
ip access-group 103 out
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili.
Credo che sia l'esigenza più comune
Grazie grante davvero per la risposta.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Intanto crea 2 access-group diversi per il traffoco entrante e uscente.
Tipo 103 out e 104 in
Tipo 103 out e 104 in
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
crashboy
- Cisco fan
- Messaggi: 26
- Iscritto il: mer 30 ago , 2006 3:59 pm
Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
-
crashboy
- Cisco fan
- Messaggi: 26
- Iscritto il: mer 30 ago , 2006 3:59 pm
Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
access-list 103 permit tcp any host 10.0.0.1 eq 5060
access-list 103 deny ip any any
Conf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
I pacchetti in igresso vengono filtrati ma in uscita il problema continua.
-
Helix
- Messianic Network master
- Messaggi: 1175
- Iscritto il: mar 04 dic , 2007 6:45 pm
- Località: Frosinone
- Contatta:
hai provato a togliere l'out della 103?
---
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
-
Helix
- Messianic Network master
- Messaggi: 1175
- Iscritto il: mar 04 dic , 2007 6:45 pm
- Località: Frosinone
- Contatta:
qui permetti alla tua rete di andare ovunque.crashboy ha scritto:Ho fatto così ma purtroppo non va :
access-list 103 permit ip 10.0.0.0 0.0.0.255 any
Qui se è SIP dovresti in teoria (se errato qualcuno mi corregga) mettere udp...access-list 103 permit tcp any host 10.0.0.1 eq 5060
okaccess-list 103 deny ip any any
Togli la rigaConf nella serial0/0.1 point to point
ip access-group 103 in
ip access-group 103 out
Codice: Seleziona tutto
ip access-group 103 out---
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
-
crashboy
- Cisco fan
- Messaggi: 26
- Iscritto il: mer 30 ago , 2006 3:59 pm
Infatti è tutto corretto e la riga :
ip access-group 103 out
l'ho inserita solo come prova. Purtroppo continua a non andare, solo per i server a cui faccio questa conf riescono ad uscire all'esterno:
access-list 103 permit ip any host 10.0.0.1
Boh
ip access-group 103 out
l'ho inserita solo come prova. Purtroppo continua a non andare, solo per i server a cui faccio questa conf riescono ad uscire all'esterno:
access-list 103 permit ip any host 10.0.0.1
Boh
-
berni_n1
- Cisco fan
- Messaggi: 52
- Iscritto il: dom 14 ott , 2007 4:26 pm
- Località: Verona
- Contatta:
ma tu quando dici :
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili
sembra che stai ragionando come se dovessi programmare un firewall, ma le acl non sono stateful e fanno semplicemente packet filtering....
Per arrivare al tuo obbiettivo devi prima negare in ingresso il tipo di traffico che non vuoi accettare verso determinati host, inseguito quello che non vuoi accettare per tutta la rete ed infine permetti tutto.
io farei così:
access-list 103 deny tcp any rete_interna/host_interno eq 23 (es. blocchiamo telnet)
access-list 103 deny tcp any rete_interna/host_interno eq 22 (es. blocchiamo ssh)
access-list 103 permit ip any any
e visto che in uscita non vuoi filitri applichi l'acl 103 sulla interfaccia in questo modo:
ip access-group 103 in
La mia esigenza è che i server possono uscire verso tutti, ma in ingresso solo alcuni devono essere raggiungibili
sembra che stai ragionando come se dovessi programmare un firewall, ma le acl non sono stateful e fanno semplicemente packet filtering....
Per arrivare al tuo obbiettivo devi prima negare in ingresso il tipo di traffico che non vuoi accettare verso determinati host, inseguito quello che non vuoi accettare per tutta la rete ed infine permetti tutto.
io farei così:
access-list 103 deny tcp any rete_interna/host_interno eq 23 (es. blocchiamo telnet)
access-list 103 deny tcp any rete_interna/host_interno eq 22 (es. blocchiamo ssh)
access-list 103 permit ip any any
e visto che in uscita non vuoi filitri applichi l'acl 103 sulla interfaccia in questo modo:
ip access-group 103 in
Impossible Is Nothing
-CCNA-
-CCNA-
-
crashboy
- Cisco fan
- Messaggi: 26
- Iscritto il: mer 30 ago , 2006 3:59 pm
Mah, l'idea non è male, anzi presumo sia corretta, ma io qui da me ho una 20ina di Server + Router + Switch + altri apparati rete che mi danno noia. Alcuni di questi apparati hanno tante porte aperte per servizi diversi.
Quindi credo che io devo fare l'opposto di quello che mi consigli tu.
Male che va faccio un firewall
Grazie ciao
Quindi credo che io devo fare l'opposto di quello che mi consigli tu.
Male che va faccio un firewall
Grazie ciao
-
berni_n1
- Cisco fan
- Messaggi: 52
- Iscritto il: dom 14 ott , 2007 4:26 pm
- Località: Verona
- Contatta:
se hai molti apparati diventa complessa la gestione con le acl, ogni volta che devi apportare una modifica le devi cancellare tutte e rimmetterle... A me è gia capitato di avere acl molte lunghe e nella fase di modifca riportare delle incongruenze perchè non le avevo ricopiate tutte...
Se vuoi installare un firewall e non vuoi spendere molto ti consiglio NETASQ, ha moltissime funzioni (tra cui antivirus) e non è di complicata gestione!
Ciao
Se vuoi installare un firewall e non vuoi spendere molto ti consiglio NETASQ, ha moltissime funzioni (tra cui antivirus) e non è di complicata gestione!
Ciao
Impossible Is Nothing
-CCNA-
-CCNA-
-
berni_n1
- Cisco fan
- Messaggi: 52
- Iscritto il: dom 14 ott , 2007 4:26 pm
- Località: Verona
- Contatta:
cosa non ti funziona?
Così permetti tutto il traffico ip.... ma avevi messo anche "ip" davanti ad "access-group 104 out"?
Così permetti tutto il traffico ip.... ma avevi messo anche "ip" davanti ad "access-group 104 out"?
Impossible Is Nothing
-CCNA-
-CCNA-
