Help! Cisco887 e ACL

[Cerenkov]

Salve a tutti, ho il seguente problema con il router sopra indicato, la configurazione base, ovvero per riuscire a navigare funziona perfettamente, quando inizio ad inserire le ACL non hanno l'effetto che desidero, ovvero passo o dal non navigare completamente al non bloccare nulla e non riesco a capire il perchè.

Per sempio sulla configurazione base inserisco :

ip nat inside source list 100 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1

access-list 100 permit ip 192.0.0.0 0.255.255.255 any

e fin qui la connessione è ok e riesco a navigare.

Quando provo ad inserire dei blocchi, ad esempio

access-list 101 deny tcp any any eq 20
access-list 101 deny tcp any any eq 21

e applicandole all'interfaccia dialer1 o atm0 in uscita in questo modo ip access-group 101 out

quando avvio il filezilla e provo ad accedere ad un FTP effettua la connessione e riesco a navigare.
Il mio problema è il seguente voglio garantire la sola semplice navigazione da tutti gli indirizzi IP della mia lan, e poi aggiungere
delle limitazioni mirate su certi protocolli e porte ad alcuni host/ o parte della lan; ma dalle prove che ho fatto non riesco.

Spero di ricevere un aiuto, ho provato ad applicare delle ACL lette su questo forum ma non riesco.
Vi ringrazio per l'attenzione

[ghira]

Salve a tutti, ho il seguente problema con il router sopra indicato, la configurazione base, ovvero per riuscire a navigare funziona perfettamente, quando inizio ad inserire le ACL non hanno l'effetto che desidero, ovvero passo o dal non navigare completamente al non bloccare nulla e non riesco a capire il perchè.

Per sempio sulla configurazione base inserisco :

ip nat inside source list 100 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1

access-list 100 permit ip 192.0.0.0 0.255.255.255 any

e fin qui la connessione è ok e riesco a navigare.

Quando provo ad inserire dei blocchi, ad esempio

access-list 101 deny tcp any any eq 20
access-list 101 deny tcp any any eq 21

e applicandole all'interfaccia dialer1 o atm0 in uscita in questo modo ip access-group 101 out

quando avvio il filezilla e provo ad accedere ad un FTP effettua la connessione e riesco a navigare.
Il mio problema è il seguente voglio garantire la sola semplice navigazione da tutti gli indirizzi IP della mia lan, e poi aggiungere
delle limitazioni mirate su certi protocolli e porte ad alcuni host/ o parte della lan; ma dalle prove che ho fatto non riesco.

Spero di ricevere un aiuto, ho provato ad applicare delle ACL lette su questo forum ma non riesco.
Vi ringrazio per l'attenzione

in cosa consiste la "semplice navigazione"?

c'e' un "deny all" invisibile alla fine di ogni ACL.

[Cerenkov]

Intendo dire solo traffico web, tcp 80, ovvero " eq www any " se provo a creare una ACL per permettere solo questo noto effettuando le prove che oltre a navigare funziona anche tutto il resto.

Quindi ad esempio se io uso:

access-list 101 permit tcp 192.0.0.0 0.0.0.255 eq www any

metto il permit, dopo c'è l implicito deny deny ma essendo che riscontra prima il permit almeno il traffico http dovrebbe passare giusto?

Naturalmente applico all'interfaccia
ip access-group 101 out

In questo caso applicando questa acl, navigo e funziona anche il transferimento FTP non credo sia normale....
La sintassi è corretta? in cosa sbaglio? Non smanetto con i Cisco da troppo tempo...e devo dire che non ricordo bene tutto il necessario per applicare le ACL...



Grazie per l'attenzione

[ghira]

Intendo dire solo traffico web, tcp 80, ovvero " eq www any " se provo a creare una ACL per permettere solo questo noto effettuando le prove che oltre a navigare funziona anche tutto il resto.

Quindi ad esempio se io uso:

access-list 101 permit tcp 192.0.0.0 0.0.0.255 eq www any

metto il permit, dopo c'è l implicito deny deny ma essendo che riscontra prima il permit almeno il traffico http dovrebbe passare giusto?

"permit tcp 192.0.0.0 0.0.0.255 eq www any" va bene se vuoi permettere ai server
web su 192.0.0.* di rispondere alle richieste. e non devi permettere anche forse
il DNS?

e' importante l'indirizzo sorgente di questi pacchetti? in tal caso ti conviene magari
fare i controlli in entrata su vlan 1. altrimenti forse
"permit tcp any any eq www"

Naturalmente applico all'interfaccia
ip access-group 101 out

In questo caso applicando questa acl, navigo e funziona anche il transferimento FTP non credo sia normale....
La sintassi è corretta? in cosa sbaglio? Non smanetto con i Cisco da troppo tempo...e devo dire che non ricordo bene tutto il necessario per applicare le ACL...

Grazie per l'attenzione

Una volta che i pacchetti sono in uscita dall'interfaccia Dialer, sono gia' stati NATtati, mi pare.

Vedi:

http://www.cisco.com/en/US/tech/tk648/t ... 3ddd.shtml

[Cerenkov]

Si ma con le access list che ti ho indicato nel post io riesco oltre a navigare regolarmente sa stabilre connessioni ad esempio ftp, se non riuscivo a navigare come ben dicevi dovevo aggiungere le acl per i dns, ma il mio problema è che non capisco il perchè le acl non funzionano come mi aspetto.

Cioè secondo voi le access list che ho indicato nel posto precedente cosa fanno? non mi bloccano nulla.