ACL per BLocco PING

[masteryoda]

si, ha ragione mrCisco.
pensala così:
prima di aggiungere l'istruzione di mrCisco:
1) il ping esce dal tuo pc ed entra nell'interfaccia e0
2) il ping esce da dialer1
3) il ping raggiunge il sito che hai pingato
4) il sito risponde echo-reply
5) echo-reply arriva all'interfaccia dialer1 e, come gli abbiamo detto, può entrare
6) echo-reply raggiunge ethernet0. ora, icmp non può rientrare nella categoria degli established perché solo tcp può esserlo, quindi, visto che non abbiamo citato echo-reply tra le cose che possiamo accettare, lo scarta.

con l'istruzione di mrCisco, echo-reply viene accettata anche su ethernet0

[marchack]

Cavolo è vero..... Non avevo pensato di vederla in questo modo... con il permit ip any any renderei annullerei tutte le acl in deny???
Grazie davvero per la bella lezione (in tutti i sensi) che mi state impartendo, avreste un libro da consigliarmi magari con lo scopo di preparare ad un ccna?

[MrCisco]

con il permit ip any any renderei annullerei tutte le acl in deny???

sì, qualcosa del genere.

avreste un libro da consigliarmi magari con lo scopo di preparare ad un ccna?

Indubbiamente i libri di Wendel Odom sono un must... se sei ferrato in inglese, perché non sono stati tradotti. Li puoi acquistare su Amazon tramite il forum (grazie) nella sezione LIBRI. Ti conviene comprarli qui perché ordinandoli in libreria ti farebbero un salasso tanto mentre su amazon sono veramente accessibili

[marchack]

Grazie degli ottimi consigli ancora un paio di cosette: la prima riguardo ai libri di Wendel Odom, quali titoli scegliere sicuramente uno quello dell'INTRO poi?
La seconda sempre riguardo le ACL

Codice: Seleziona tutto

int dialer 1
ip access-group 103 in
!
!
access-list 103 deny   tcp any any eq telnet
access-list 103 deny   tcp any any eq 22
access-list 103 deny   tcp any any eq ftp
access-list 103 permit icmp any any echo-reply
access-list 103 deny   icmp any any
access-list 103 permit ip any any

L'ultima acl ext 103 non potrebbe essere potenzialmente dannosa come lo è riferita all'eth0 in out???? Cosa cambia nello specifico? Anche qui in questo caso il permit ip any any "annullerebbe" quanto scritto prima, ma ho verificato che non è così, quindi deduco che l'ordine con cui vengono scritte le ACL è di fondamentale importanza e non ha come dire, consentitemi il termine non molto appropriato, una "proprietà commutativa"; ritornando ancora sul discorso dell'eth0 basterebbe solo anteporre al permit ip any any altre acl in deny per bloccare altri "servizi" potenzialmente pericolosi.... E' così? Correggettemi se ancora sto sbagliando....
Grazie 1000 intanto ho acquistato il libro di Wendel sull'INTRO

[TheIrish]

Per i libri di certificazione CCNA, servono sia l'INTRO che l'ICND.
Per quanto riguarda la tua domanda sull'ACL, ovvio che un permit ip any any può essere dannoso, ma tutto dipende da dove è posizionato.
Al router (fine a se stesso) fanno paura solo alcuni protocolli: telnet, ftp, tftp, snmp ed ssh. In realtà non dovrebbero nemmeno scalfirlo, se hai configurato bene il router, ma è bene fare gli scongiuri con una ACL ad hoc come la nostra 103.
Per il resto, i dati possono tranquillamente entrare nel router, ci penserà l'ACL 102 a fare tutto il lavoro di protezione dei PC.
Ti domanderai perché invece non facciamo fare tutto a Dialer1... ma questo è un discorso un po' lungo che ha a che fare con in NAT e magari ne parleremo in un altro thread.

[marchack]

1 "CCNA INTRO Exam Certification Guide (CCNA Self-Study, 640-821, 640-801), First Edition"

Questo è il titolo del libro per la precisione credo che per iniziare non sia sbagliato so comunque che uno non può bastare... [/quote]

[Rugantine]

si è quello e ti spiega dai fondamenti del networking (ISO/OSI, TCP/IP ecc) fino alle tecnologie di rete come Ethernet, atm, frame-relay ecc. in più c'è la teoria del funzionamento dei router cisco.
l'ICND invece va più sul pratico.
Sono comunque due testi ottimi.

[marchack]

Perfetto Grazie a tutti di questi preziosi consigli in effetti la mia idea iniziale sarebbe stata quella di far fare tutto alla dialer e magari implementando anche qualche acl sulla source list del nat, a dir la verità avevo già sperimentato qualche "alchimia" ottenendo solo insuccessi, sarei davvero interessato a discuterne in un altro thread ma non vorrei abusare della vostra pazienza
Per quanto riguarda il libro sull'ICND quindi è valido anche per preparare ad un CCNA mi fido di voi, alla fine i prezzi sono davvero più abbordabili qui con Amazon che anche su altri siti "sedicenti" "economici"....

[MrCisco]

sarei davvero interessato a discuterne in un altro thread ma non vorrei abusare della vostra pazienza

se non ci foste voi che fate domande, cos'avremmo da fare a lavoro ? (spero che il capo non conosca questo forum.... )

Per quanto riguarda il libro sull'ICND quindi è valido anche per preparare ad un CCNA mi fido di voi

l'esame CCNA è diviso in due parti, INTRO e ICND. ti servono tutti e due per conseguire la certificazione.

i prezzi sono davvero più abbordabili qui con Amazon che anche su altri siti "sedicenti" "economici"....

Eh, Amazon fa le cose per bene... se hai intenzione di fare l'ordine, ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favore

[marchack]

Bè allora quando troverete del tempo sarò lieto di leggere :

Ti domanderai perché invece non facciamo fare tutto a Dialer1... ma questo è un discorso un po' lungo che ha a che fare con in NAT e magari ne parleremo in un altro thread.

ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favore

Già fatto con "CCNA INTRO Exam Certification Guide (CCNA Self-Study, 640-821, 640-801), First Edition"
E presto lo faro anche con l'ICND a titolo di "un'umile" forma di riconoscenza verso questo forum

[TheIrish]

ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favore

mrCisco... non ci si struscia così... eheheh ! sei un ottimo venditore!

E presto lo faro anche con l'ICND a titolo di "un'umile" forma di riconoscenza verso questo forum

preferirei tu lo facessi (e in realtà so che è così) per il principio che knowledge is power (la conoscenza è potere)
La miglior riconoscenza è che tu in futuro possa correggerci quando sbagliamo ... io e mrCisco siamo dei distratti cronici