-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andrea Dainese ha scritto: > On Sat, Oct 31, 2009 at 1:51 PM, Stefano Villa <[email protected]> wrote: > [...] >> access-list 101 permit tcp any any eq 4673 EMULE >> access-list 101 permit tcp any any eq 10000 VPN >> access-list 102 remark Chiude tutte le altre porte >> access-list 102 deny any any > > Non so se è voluto, ma le ultime due righe sono #102. Il risultato non > cambia dato che di default viene negato tutto ciò che non è stato > esplicitamente consentito. infatti la #102 la si può anche evitare... > >> ovviamente l'ultima colonna serve solo come memo, sarà da cancellare. >> Ora vi chiedo: pensavo di aggiungere queste ACL alla dialer 0 in, è >> corretto? Sotto vi allego la running config. > > Ci sono sicuramente persone molte più esperti di me, ma leggendo le > tue regole mi sembra di capire che quello che vuoi fare è permettere > un certo tipo di traffico verso internet negando tutto il resto. > Quindi credo dovrebbe essere applicata sulla dialer out, o come fa > notare Lorenzo nella vlan1 in. esatto è sicuramente meglio applicarla alla VLAN 1 per la motivazione data da Lorenzo. >> Inoltre, se dovessi modificare (per esempio eliminando la riga "access-list >> 101 permit tcp any any eq 1863 MSN" dalla ACL), come posso fare senza >> cancellare tutta la ACL? > > Non puoi, devi usare una access-list estesa. Se esegui "no access-list > 101 permit tcp any any eq 1863" cancelli tutta l'access-list 101. > > [...] non sono molto convinto di questo... in realtà le ultime versioni dell'IOS permettono di eliminare anche una singola entry... se fai uno sh access-list ti viene fuori una cosa come questa:
10 access-list 101 permit tcp any host 192.168.10.10 eq www 20 access-list 101 permit udp any host 192.168.10.11 eq dns 30 access-list 101 permit icmp any any echo-reply 40 access-list 101 deny any any log Se vuoi cancellare ad esempio solo la riga con echo-reply basta mettere da config mode: no access-list ip access-list ext 101 no 30 se vuoi inserire una nuova entry prima della prima riga basta dargli un numero < 10 altrimenti un numero > 40 ad esempio: 5 permit icmp any any echo-reply 50 permit ip any any eq bootp >> ip nat inside source static udp 10.10.10.3 4673 interface Dialer0 4673 >> ip nat inside source static tcp 10.10.10.3 4663 interface Dialer0 4663 >> >> Devo crearlo anche per qualcos'altro? > > Solo se "fornisci" altri servizi raggiungibili da fuori (web o Voip, > per esempio). > > Andrea Stefano -----BEGIN PGP SIGNATURE----- Version: GnuPG/MacGPG2 v2.0.12 (Darwin) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJK7tWkAAoJEAt7LoZ6FPts2DsH+wdBWo5ZOO8dFRE8uWtQ1GhG JlX6KLEE7lQNXSsNVLMmwbaH5hAl7zS3mVH5hZgBg3ED6xoNfl1OwBLWZrrvcjhR Pn80MWZItO2VLcMbN3/fyOI5SEAMZC2H9l19fQwUXg1eFKvYGGnWZx8D4mGUVzOR dtBq+retFhH6Dp0Jv4Ba1hfB+u++d3G1wfahb5GibhExaEN6dMZDDVbzFF/YZqYU DijXX2uIDtFHy4uRA8ZAKXwWctQ2jygq3EomQo+vY/Hs3KAoQDi4TspMr57oPmSb KUB5jcKEhcux85el4I1fWScyfHScg2UCgj3ZQNpkgz9tH9Zu+VpOhL56i/Kkzog= =JCIb -----END PGP SIGNATURE----- _______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
