Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!
Ho da bloccare un ip sul catalyt 4500 help me
blocc ip
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Benvenuta Elisabetta.spider ha scritto:Ciao a Tutti,
scusate il ritardo ma ben arrivata Elisabetta!!
Ho da bloccare un ip sul catalyt 4500 help me
Non vorrei dire una castroneria ma il 4500n è L3. UNa classica ACL?
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Ma dai, rispondi pure a uno che si chiama "spider" ????
senza offesa "spider" ...
senza offesa "spider" ...
- spider
- Cisco fan
- Messaggi: 47
- Iscritto il: dom 16 dic , 2007 1:55 pm
- Località: Napoli
Beh ho fatto access list alle interfacee L3 ma ho problemi di autenticazione con il dominio
Esempio di quanto fatto:
cat4500(config-ext-nacl)#permit ip 192.168.73.0 0.0.0.255 any
cat4500(config)#interface gigabitEthernet 5/2
cat4500(config-if)# ip access-group 103 in
ma questi utenti non si autenticavano in dominio allora cosa ho pensato faccio così:
ip access-list extended 113
permit ip 192.168.73.0 0.0.0.255 192.168.80.0 0.0.0.255
ip access-group 113 in
dato che la rete dove si trova AD è la 80
In questo modo il problema lo risolvo secondo voi?
Grazie, anche per la battuta sul nome
Esempio di quanto fatto:
cat4500(config-ext-nacl)#permit ip 192.168.73.0 0.0.0.255 any
cat4500(config)#interface gigabitEthernet 5/2
cat4500(config-if)# ip access-group 103 in
ma questi utenti non si autenticavano in dominio allora cosa ho pensato faccio così:
ip access-list extended 113
permit ip 192.168.73.0 0.0.0.255 192.168.80.0 0.0.0.255
ip access-group 113 in
dato che la rete dove si trova AD è la 80
In questo modo il problema lo risolvo secondo voi?
Grazie, anche per la battuta sul nome
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit. Mi sono perso qualcosa?
Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni? Perchè io ho un pò di dubbi, sul mio 4500 l'applico sulla vlan che è il default gw della lan.
Rizio
Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni? Perchè io ho un pò di dubbi, sul mio 4500 l'applico sulla vlan che è il default gw della lan.
Rizio
Si vis pacem para bellum
- spider
- Cisco fan
- Messaggi: 47
- Iscritto il: dom 16 dic , 2007 1:55 pm
- Località: Napoli
Ciao allora:
1)Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni?
Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
2)Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit
Beh hai ragione voglio bloccare un IP, ma poi pensandoci bene voglio far passare solo il traffico che dico io, quello della rete 192.168.73.0 verso tutto.
Questo dovrebbe evitare eventuale traffico spoofing.
Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?
Ciao
1)Inoltre sei sicuro che un'acl L3 applicata ad un'interfaccia fisica funzioni?
Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
2)Scusa non hai detto che dovevi BLOCCARE l'ip? Perchè hai scritto permit
Beh hai ragione voglio bloccare un IP, ma poi pensandoci bene voglio far passare solo il traffico che dico io, quello della rete 192.168.73.0 verso tutto.
Questo dovrebbe evitare eventuale traffico spoofing.
Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?
Ciao
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Si, ok però non ho mai provato e non sò se e come funzia, mi saprai poi direi tu.spider ha scritto:Beh le mie interfacce sono L3, sono in modalità no switchport mode) e sono quindi il default gateway del piano.
Si, AFAIK, se le reti sono corrette si, dovrebbe andare bene. Alla peggio puoi provare bloccando un singolo IP di prova e chiudendo l'ACL con una permit any any, poi vedi con un pc che ha l'ip bloccato cosa riesci a vedere in rete.spider ha scritto:Grazie mille per il supporto e consiglio, secondo te quindi potrebbe andare?
Rizio
Si vis pacem para bellum
- spider
- Cisco fan
- Messaggi: 47
- Iscritto il: dom 16 dic , 2007 1:55 pm
- Località: Napoli
Ciao a tutti,
ho risolto il problema in questo modo:
ip access-list extended antispoofing-pt
permit ip 192.168.70.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255
deny ip any any log
e poi l'ho applicata all'interfaccia di interesse, ma se avessi messo il permit udp host 0.0.0.0 host 255.255.255.255 non riuscivo a far passare i pacchetti per il DHCP.
Grazie tutti come sempre per i suggerimenti e consigliu.
Alla prossima cari
ho risolto il problema in questo modo:
ip access-list extended antispoofing-pt
permit ip 192.168.70.0 0.0.0.255 any
permit udp host 0.0.0.0 host 255.255.255.255
deny ip any any log
e poi l'ho applicata all'interfaccia di interesse, ma se avessi messo il permit udp host 0.0.0.0 host 255.255.255.255 non riuscivo a far passare i pacchetti per il DHCP.
Grazie tutti come sempre per i suggerimenti e consigliu.
Alla prossima cari