Matteo Favaro ha scritto:
quindi concettualemente tutto cio che voglio esca dall router creo un
access-list 101 la mappo in vlan0 IN e queste sono le regole per far
uscire i pc + il router stesso.
Perche' mettere delle acl in vlan1? se non specifichi nulla, di default
e' tutto in permit.
Quindi elimina ogni cosa IN vlan1 (tranne l'inspect)
quindi direi che il problema sta nel fatto che il dialer0 dovrebbe
avere una acl del genere
access-list 105 deny any any any (concettualmente)
però non capisco il motivo di perchè quando ho aggiunto in questa
configurazione la voce all'acceslì-list connessa al dialer0:
access-list 101 permit tcp any any
access-list 101 permit udp any any
il router ha cominciato a pingare fuori e a far funzionare il ddns....
Come ben saprai, se metti un solo permit, quindi definisci una lista con
un solo permit, il resto lo blocchi
perche' le acl hanno un deny implicito. Idem se metti un solo deny.
Per cui, nella dialer0 devi mettere solo i permit che servono. (ssh,
http, etc se li hai).
Il resto, se lasci tutto in deny any any, navigherai lo stesso, perche'
il lavoro di controllo lo fara' lo SPI (Stateful Packet Inspection)
(ip inspect)
Ciao!
_______________________________________________
Cug mailing list
http://www.areanetworking.it/index_docs.php
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug
