Deny SSH switch da uno specifico Host

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderators: Federico.Lagni, TheIrish, Wizard, tonycimo, andrewp

Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Wed 18 Apr , 2018 7:03 pm

Ragazzi purtroppo ho un problema del quale non riesco a venirne a capo...
Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
Image

PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?

grazie mille.
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm

Re: Deny SSH switch da uno specifico Host

Postby paolomat75 » Thu 19 Apr , 2018 9:57 am

Ciao.
Code: Select all
ip access-list extended SshlAccess
deny tcp host IP_PC2 any eq 22
deny udp host IP_PC2 any eq 22
permit ip any any

line vty 0 15
access-class SshlAccess in


Dovrebbe andare.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2888
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Thu 19 Apr , 2018 6:35 pm

ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm

Re: Deny SSH switch da uno specifico Host

Postby paolomat75 » Thu 19 Apr , 2018 7:13 pm

ryosaeba86 wrote:ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie


Hai provato? Che firmware hai?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2888
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Thu 19 Apr , 2018 8:02 pm

no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm

Re: Deny SSH switch da uno specifico Host

Postby paolomat75 » Thu 19 Apr , 2018 8:09 pm

ryosaeba86 wrote:no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...

Le ACL sugli switch L2 hanno delle limitazioni, ma che mi risulti sui 2960 puoi usarli nelle vty (hanno qualche funzione L3 tipo SVI).

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2888
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Thu 19 Apr , 2018 8:34 pm

fatto...grazie mille..
avevo quella convinzione e non avevo mai provato sullo sw.
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm

Re: Deny SSH switch da uno specifico Host

Postby paolomat75 » Thu 19 Apr , 2018 8:54 pm

Bene

Ciao
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2888
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Fri 20 Apr , 2018 11:00 am

scusa se ci torno ma è per capire meglio queste ACl...come deny host ovviamente ho inserito quello di PC2...ma facendo ssh da un'altra net...il pacchetto non si presenta allo sw con IP sorgente uguale al Gw della VLAN 99???
io ho bloccato un pc vlan 20 che ha gw sottointerfaccia sul router..poi dovrebbe fare inter-vlan routing ...e non si presenta con IP del pc..quindi l'acl come fa a bloccarlo..!!!
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm

Re: Deny SSH switch da uno specifico Host

Postby paolomat75 » Fri 20 Apr , 2018 12:42 pm

Ciao.
Facendo inter-vlan roouting non viene cambiato l'IP sorgente (a meno di NAT). La acl funziona per quel motivo.

So di essere molto stringato, ma sono oberato di lavoro. Comunque se hai dubbi scrivi che cerco di spiegarmi meglio.

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2888
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: Deny SSH switch da uno specifico Host

Postby ryosaeba86 » Fri 20 Apr , 2018 4:13 pm

nono grazie dell'aiuto..ero io che stavo facendo una confusione assurda...giustamente nei passaggi L3 ip source e destination rimangono gli stessi (a meno di nat) appunto...quindi l'acl giusto cosi.
ryosaeba86
n00b
 
Posts: 17
Joined: Fri 10 Jan , 2014 2:12 pm


Return to Configurazioni

Who is online

Users browsing this forum: No registered users and 2 guests