Deny SSH switch da uno specifico Host

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

Ragazzi purtroppo ho un problema del quale non riesco a venirne a capo...
Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
Immagine

PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?

grazie mille.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.

Codice: Seleziona tutto

ip access-list extended SshlAccess
deny tcp host IP_PC2 any eq 22
deny udp host IP_PC2 any eq 22
permit ip any any

line vty 0 15
access-class SshlAccess in
Dovrebbe andare.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

ryosaeba86 ha scritto:ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?

grazie
Hai provato? Che firmware hai?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

ryosaeba86 ha scritto:no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
Le ACL sugli switch L2 hanno delle limitazioni, ma che mi risulti sui 2960 puoi usarli nelle vty (hanno qualche funzione L3 tipo SVI).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

fatto...grazie mille..
avevo quella convinzione e non avevo mai provato sullo sw.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Bene

Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

scusa se ci torno ma è per capire meglio queste ACl...come deny host ovviamente ho inserito quello di PC2...ma facendo ssh da un'altra net...il pacchetto non si presenta allo sw con IP sorgente uguale al Gw della VLAN 99???
io ho bloccato un pc vlan 20 che ha gw sottointerfaccia sul router..poi dovrebbe fare inter-vlan routing ...e non si presenta con IP del pc..quindi l'acl come fa a bloccarlo..!!!
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Facendo inter-vlan roouting non viene cambiato l'IP sorgente (a meno di NAT). La acl funziona per quel motivo.

So di essere molto stringato, ma sono oberato di lavoro. Comunque se hai dubbi scrivi che cerco di spiegarmi meglio.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
ryosaeba86
n00b
Messaggi: 17
Iscritto il: ven 10 gen , 2014 2:12 pm

nono grazie dell'aiuto..ero io che stavo facendo una confusione assurda...giustamente nei passaggi L3 ip source e destination rimangono gli stessi (a meno di nat) appunto...quindi l'acl giusto cosi.
Rispondi