Re: [Cug] creazione ACL su Cisco 877 per utenza casalinga

Mon, 02 Nov 2009 08:18:09 -0800 

Stefano Pilla ha scritto:

infatti la #102 la si può anche evitare...


ok, l'ho eliminata


esatto è sicuramente meglio applicarla alla VLAN 1 per la motivazione
data da Lorenzo.


ok, ho applicato tutto alla vlan1 in


non sono molto convinto di questo... in realtà le ultime versioni
dell'IOS permettono di eliminare anche una singola entry...
se fai uno sh access-list ti viene fuori una cosa come questa:

10 access-list 101 permit tcp any host 192.168.10.10 eq www
20 access-list 101 permit udp any host 192.168.10.11 eq dns
30 access-list 101 permit icmp any any echo-reply
40 access-list 101 deny any any log

Se vuoi cancellare ad esempio solo la riga con echo-reply basta
mettere da config mode:

no access-list
ip access-list ext 101
no 30

se vuoi inserire una nuova entry prima della prima riga basta dargli
un numero < 10 altrimenti un numero > 40 ad esempio:

5 permit icmp any any echo-reply
50 permit ip any any eq bootp


ti confermo che quanto scrivi è giusto.

Ora ho questa situazione:

Router01#sh access-lists
Standard IP access list 1
    10 permit 10.10.10.0, wildcard bits 0.0.0.255 (889 matches)
Extended IP access list 101
    10 permit tcp any any eq ftp-data
    20 permit tcp any any eq ftp
    30 permit tcp any any eq 22
    40 permit tcp any any eq domain
    50 permit udp any any eq domain (12 matches)
    60 permit tcp any any eq www (144 matches)
    70 permit udp any any eq ntp
    80 permit tcp any any eq 139
    90 permit tcp any any eq 443 (107 matches)
    100 permit tcp any any eq 587
    110 permit tcp any any eq 993 (181 matches)
    120 permit tcp any any eq 1863 (145 matches)
    130 permit tcp any any eq 3389
    140 permit tcp any any eq 4079
    150 permit tcp any any eq 4663
    160 permit udp any any eq 4673
    170 permit udp any any eq isakmp
    180 permit udp any any eq non500-isakmp


Ho dovuto aggiungere un paio di porte per la VPN perchè cosi non andava. 
L'unico che non funziona resta emule, non si connette neanche..

Il nat è impostato (credo) correttamente:

ip nat inside source static udp 10.10.10.3 4673 interface Dialer0 4673
ip nat inside source static tcp 10.10.10.3 4663 interface Dialer0 4663

Cosa mi sfugge?

Altra cosa: ho visto che la acl 1 è collegata alla seguente stringa:

ip nat inside source list 1 interface Dialer0 overload


in soldoni, a cosa serve? ho provato a rimuoverla (la acl 1) e si blocca 
tutto..


grazie mille!
_______________________________________________
http://www.areanetworking.it
http://www.areanetworking.it/blog
[email protected]
http://ml.areanetworking.it/mailman/listinfo/cug






















					Reply via email to