Ho iniziato a studiare le ACL, e devo confessare che sto incontrato qualche difficoltà nell'inquadrare alcuni concetti.
Tanto per fare un esempio, tra le tre p delle ACL c'è la direzione, inbound o outbound: in un primo momento ho fatto il paragone con le telefonate associando in con le chiamate ricevute e out con quelle effettuate. Ma a quanto pare nel caso del router non è proprio così, perché stando agli esempi riportati sul libro se voglio permettere a un gruppo di host di navigare su internet definendo un'ACL, sull'interfaccia del router devo mettere IN. Ma a prima vista non sarebbe più logico mettere out?? Perché IN?
Grazie in anticipo per le risposte
ACL inbound o outbound
Moderatore: Federico.Lagni
- rain3
- Network Emperor
- Messaggi: 266
- Iscritto il: gio 31 lug , 2008 4:55 pm
- Località: Battipaglia (SA)
Int 1 Wan --Router----Int 2 Lan<-------Traffico Host
Il traffico internet degli host entra nell'interfaccia 2 Lan ed esce attraverso la wan
Il traffico di ritorno entra nella interfaccia 1 Wan ed esce verso gli host attraverso la Int 2 Lan .
Spero che ti chiarisca il concetto.. sono stato molto conciso .
Il traffico internet degli host entra nell'interfaccia 2 Lan ed esce attraverso la wan
Il traffico di ritorno entra nella interfaccia 1 Wan ed esce verso gli host attraverso la Int 2 Lan .
Spero che ti chiarisca il concetto.. sono stato molto conciso .
CCNA 640-802
CCNP SWITCH 642-813
CCNP SWITCH 642-813
-
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
Sul libro viene riportato questo esempio:
access-list 150 su interfaccia s0/0/0 di R3 così configurata:
10 deny tcp host 192.168.30.12 any eq telnet
20 permit ip any any
Il libro dice che nonostnate lo statement indichi che quel host non possa fare telnet, ciò avviene perchè l'access list è stata settata come IN, mentre doveva essere settata come outbound. Ma se il traffico proviene da quell'host, perché dovrebbe essere Out e non IN??
Sono confuso!
access-list 150 su interfaccia s0/0/0 di R3 così configurata:
10 deny tcp host 192.168.30.12 any eq telnet
20 permit ip any any
Il libro dice che nonostnate lo statement indichi che quel host non possa fare telnet, ciò avviene perchè l'access list è stata settata come IN, mentre doveva essere settata come outbound. Ma se il traffico proviene da quell'host, perché dovrebbe essere Out e non IN??
Sono confuso!
- rain3
- Network Emperor
- Messaggi: 266
- Iscritto il: gio 31 lug , 2008 4:55 pm
- Località: Battipaglia (SA)
Metti tutto il diagramma di rete... probabilmente il traffico dell'host non entra da quella interfaccia ma vi esce o meglio esso e' collegato allo stesso router al quale applichi l'acl per cui la direzione sulla s0 e out non in .
Hostesterni---------In----> s0<-Out-router---lan<--In-Host
Hostesterni---------In----> s0<-Out-router---lan<--In-Host
CCNA 640-802
CCNP SWITCH 642-813
CCNP SWITCH 642-813
-
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
- emiliano
- Network Emperor
- Messaggi: 280
- Iscritto il: lun 19 nov , 2012 11:44 am
Faccamo così, imaggina che il router abbia un cervello interno che esegue il controllo delle ACL, INBOUND indica il traffico che viene generato dalle interfacce (LAN o WAN che siano) verso il cervello del router, OUTBOUND indica il traffico che va dal cervello del router in USCITA verso le interfacce...Braveheart84 ha scritto:Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
Cerco di chiarire meglio, se vuoi applicare una ACL all'interfaccia LAN per stabilire ad esempio chi può navigare o chi no la applicherai all'ipotetica interfaccia Fa0 direzione INBOUND, se hai un server web interno e crei una ACL che filtri quali ip possano accedere al web server interno e vuoi che il filtraggio venga fatto in ingresso sull'interfaccia WAN applicherai la ACL all'interfaccia ATM0 con direzione INBOUND.
Se lo stesso filtraggio sul server web vuoi applicarlo all'interfaccia LAN cui è connesso il server la ACL (opportunamente modificata) l'applicherai alla FA0 con direzione OUTBOUND.
Tuttavia spero vivamente che tu stia studiando da autodidatta perchè se stai frequentando un' Accademy e il tuto tutor non è risucito a chiarirti il concetto c'è qualcosa che non va
- KEEP CALM AND CARRY ON -
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
-
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
Emiliano, sto studiando in un Academy, e purtroppo, ha detta anche degli altri corsisti, da quando il nostro istruttore è stato spostato al corso CCNP (che sto seguendo), la qualità è un po' calata. Effettivamente cercherò ulteriori chiarimenti dal mio vecchio istruttore
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Se un istruttone per un corso CCNP non riesce a spiegarti le ACL IN/OUT (che poi sono CCNA) non è idoneo ad insegnare (visto che non sei l'unico che si lamenta da quanto ho capito).Braveheart84 ha scritto:Emiliano, sto studiando in un Academy, e purtroppo, ha detta anche degli altri corsisti, da quando il nostro istruttore è stato spostato al corso CCNP (che sto seguendo), la qualità è un po' calata. Effettivamente cercherò ulteriori chiarimenti dal mio vecchio istruttore
Fassi in voi farei reclamo all'Academy di cambiarvi insegnante (visto anche i costi dei corsi).
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
No no, aspetta Paolo: noi abbiamo iniziato il CCNA con un istruttore BRAVISSIMO (tecnico di BT) che ora insegna al CCNP insieme all'istruttice (anch'essa molto brava). Nel CCNA ora abbiamo l'istruttore che prima faceva solo laboratorio e a una certa in poi ha iniziato a spiegarci pure teoria. Secondo me non lavorando nel settore, gli manca quel quid rispetto all'altro.
-
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
Grazie per la spiegazione, cmq non capisco per quale motivo se metto il web su interfaccia WAN va settatao IN, mentre sulla Lan Outemiliano ha scritto:Faccamo così, imaggina che il router abbia un cervello interno che esegue il controllo delle ACL, INBOUND indica il traffico che viene generato dalle interfacce (LAN o WAN che siano) verso il cervello del router, OUTBOUND indica il traffico che va dal cervello del router in USCITA verso le interfacce...Braveheart84 ha scritto:Purtroppo il libro non riporta alcuna figura...sono spiacente, ma su questo capitolo il testo che ci hanno dato non è molto chiaro, e sto cercando documentazione aggiuntiva per capirci qualcosa. Cmq se ho ben capito, se metto la dicitura "OUT" il router analizza solo il traffico generato dall'esterno e non dall'interno, giusto?
Cerco di chiarire meglio, se vuoi applicare una ACL all'interfaccia LAN per stabilire ad esempio chi può navigare o chi no la applicherai all'ipotetica interfaccia Fa0 direzione INBOUND, se hai un server web interno e crei una ACL che filtri quali ip possano accedere al web server interno e vuoi che il filtraggio venga fatto in ingresso sull'interfaccia WAN applicherai la ACL all'interfaccia ATM0 con direzione INBOUND.
Se lo stesso filtraggio sul server web vuoi applicarlo all'interfaccia LAN cui è connesso il server la ACL (opportunamente modificata) l'applicherai alla FA0 con direzione OUTBOUND.
Tuttavia spero vivamente che tu stia studiando da autodidatta perchè se stai frequentando un' Accademy e il tuto tutor non è risucito a chiarirti il concetto c'è qualcosa che non va
edit. Forse ho capito: nel caso del server web su FA0 si mette Out poiché il traffico che tenta di accedervi passa per il router (nel caso siano degli host di un altra rete)
-
- Cisco fan
- Messaggi: 39
- Iscritto il: mer 27 mar , 2013 9:12 am
Regole semplici da seguire per decidere se applicare le ACL in o out:
1- Sulla topologia della rete, disegna il traffico che vuoi bloccare/permettere con l'ACL (traccia una linea che parte dall'host sorgente e arriva all'host destinazione)
La linea tracciata passerà ovviamente dal router su cui devi applicare l'ACL (arriva su una interfaccia del router e parte da un'altra interfaccia del router)
2- Se applichi l'ACL sull'interfaccia dove la linea arriva sul router allora devi mettere IN
3- Se applichi l'ACL sull'interfaccia dove la linea lascia il router allora devi mettere OUT
Riassunto. Il punto di osservazione del traffico è sempre e solo il router: se il traffico entra nel router è IN, se esce dal router è OUT
1- Sulla topologia della rete, disegna il traffico che vuoi bloccare/permettere con l'ACL (traccia una linea che parte dall'host sorgente e arriva all'host destinazione)
La linea tracciata passerà ovviamente dal router su cui devi applicare l'ACL (arriva su una interfaccia del router e parte da un'altra interfaccia del router)
2- Se applichi l'ACL sull'interfaccia dove la linea arriva sul router allora devi mettere IN
3- Se applichi l'ACL sull'interfaccia dove la linea lascia il router allora devi mettere OUT
Riassunto. Il punto di osservazione del traffico è sempre e solo il router: se il traffico entra nel router è IN, se esce dal router è OUT