Matteo Favaro ha scritto:
ciao ho risolto come avevi detto tu... ora sono davanti ad alcuni
piccoli quesiti,
c'è un modo per poter usare + acl in ingresso o meglio... quando natto
mi devo appoggiare poi a una acl però vorrei farne diverse dato che ho
server diversi connessi nella lan... quindi vorrei avere una acl per
ognuno di questi in modo che se devo cambiare delle regole per uno non
devo cancellarle tutte e riscriverle... ma solo quella specifica del
server che ha subito cambiamenti
esempio se natto questa porta a quest'ip connesso all'interfaccia 1
del mio router
ip nat inside source static udp 192.168.1.7 40977 interface Dialer1 40977
poi conseguentemente devo fare una regola:
access-list 111 permit udp any any eq 40977
access-list 111 permit tcp any any eq 40977
sapendo che ho scritto questo dentro all dialer1
ip access-group 111 in
ora la mia domanda è... c'è un modo per o gestire separatemente le
interfacce della vlan1 in modo che abbiano acl diverse...
oppure usare + acl dentro al dialer.. non so se mi spiego...
devi usare il comando
ip access-list
che ti da' la possibilita' di creare ACL standard o extended e di dargli
un nome (label) cosi',
quando vai a modificarle e vai a dare il "no" solo ad una rule, non
elimina tutto il pool.
Es:
ip access-list extended RANGE_PORT
remark ACL Range port
permit tcp any any range 54000 54019
permit tcp any any range 55000 55019
se scrivo il comando
no permit tcp any any range 55000 55019
lui elimina solo quella rule.
Cisco impone max una list per interfaccia, protocollo e direzione.
altra cosa... ho visto che è possibile lasciare al router il modo di
aggiornare un dns dinamico.. c'è possibilità di poterlo usare anche
dentro a regole acl?
faccio un esempio devo nattare un pool di porte: per il pap2
e ho fatto così:
ip nat pool pap2t 87.5.178.xx 87.5.178.xx netmask 255.255.255.0 type rotary
e poi
access-list 100 permit udp any range 16284 16382 any
però a parte che non so se ho fatto giusto... poi volevo sapere se era
possibile in qualche modo mettere al posto del ip fisso il mio dns in
modo che la regola segua il cambiamento di ip che obligatoriamente la
mitica telecom impone alla mia linea...
Manca il comando per abilitare il nat
ip nat inside destination list 100 pool pap2t
In ogni caso, non capisco: se hai un ip fisso, in che senso telecom te
lo cambia? O.o
Nelle ACL non puoi specificare dns (sai quanta cpu/ram, per risolverlo,
va via ad ogni chiamata della list? :D). Puoi usare la kw "any" cosi' ti
prende qualsiasi ip.
grazie mille ciao matteo
A disposizione,
Gianremo.
_______________________________________________
Cug mailing list
http://www.areanetworking.it/index_docs.php
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
