2009/12/1 Giuseppe "Gippa" Paterno' <[email protected]>: > interface FastEthernet0 > description Interface LAN > ip address 192.168.1.1 255.255.255.0 > ip access-group LAN_inbound > ip inspect standard in > ip nat inside > speed auto > ! > [...] > ip access-list extended LAN_inbound > remark ping > permit icmp any any echo > remark management of router > permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet > remark Permit SMTP from DMZ > permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.250 eq 25
Ciao Giuseppe! Prendi quello che dico con le pinze, perché sono un novellino nel settore reti&sicurezza :-O... Da quello che ho capito al momento che applichi l'ACL LAN_inbound su FE0 (in ingresso) dalla LAN non accedi più alla WAN, giusto? Dallo show run che hai postato sembra che sia permesso soltanto il traffico telnet verso il router (dalla LAN), e quello SMTP dalla DMZ, ma verso la WAN non è permesso nulla! O no? E le ACL hanno di default deny all... Ossia dalla LAN viene bloccato tutto il resto del traffico che entra in FE0, e che ha come destinazione la Rete. Secondo me dovrebbe essere una cosa del genere: ip access-list extended LAN_inbound remark ping permit icmp any any echo remark management of router permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet remark Permit SMTP from DMZ permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.250 eq 25 permit (traffico permesso verso WAN) e poi non ho capito l'SMTP from DMZ messo in ingresso su FE0... saluti, Matteo Cappelli ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
