Ciao
Ho bisogno di applicare le stesse limitazioni a piu' host seguendo questa regola :
access-list 103 permit tcp host 192.168.0.2 any eq www
access-list 103 permit tcp host 192.168.0.2 any eq pop3
access-list 103 permit tcp host 192.168.0.2 any eq 443
access-list 103 deny tcp host 192.168.0.2 any
access-list 103 deny udp host 192.168.0.2 any
.
.
.
.
access-list 103 permit ip any any
come posso fare per evitare di inserire tutta la pappardella ogni volta per un host diverso ? (magari 50 host)
posso raggruppare i tre servizi desiderati (www pop https) in una unica regola a cui ogni singolo host fa riferimento ??
Posso altresi' creare una lista di host (anche non contigui in numerazione) a cui applicare l'unica regola di cui sopra ??
Grazie
Federico
access-list per piu' hosts
Moderatore: Federico.Lagni
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Dipende da che versione di ios monti ma sull'asa ci sono gli object-group. Crei un object-group con le porte e i protocolli che vuoi controllare e applichi le acl agli host con un object-group.
Altrimenti potresti cercare di raccogliere tutti gli host che devi controllare all'interno di una net riassumibile con una unica netmask e applichi l'acl a tutta la net con la netmask giusta che prenda solo gli host che ti interessano.
Rizio
Altrimenti potresti cercare di raccogliere tutti gli host che devi controllare all'interno di una net riassumibile con una unica netmask e applichi l'acl a tutta la net con la netmask giusta che prenda solo gli host che ti interessano.
Rizio
Si vis pacem para bellum
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
In base alla versione di IOS che monta il tuo 877 se trovi il comando object-group lo puoi fare.
Rizio
Rizio
Si vis pacem para bellum
-
Braveheart84
- Cisco enlightened user
- Messaggi: 170
- Iscritto il: gio 01 set , 2011 8:43 pm
Rizio ha scritto: Altrimenti potresti cercare di raccogliere tutti gli host che devi controllare all'interno di una net riassumibile con una unica netmask e applichi l'acl a tutta la net con la netmask giusta che prenda solo gli host che ti interessano.
Rizio
esatto! Con una wildcard mirata blocchi gli host che desideri. Cmq prova a darmi il range dei ceh vuoi bloccare e vedo di trovarti la wildcard:)
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Se ad esempio vuoi permettere a tutti gli host nella 192.168.0.0/24 puoi usare:
access-list 103 permit tcp 192.168.0.0 0.0.0.255 any eq www
se invece vuoi che solo i primi 2 indirizzi possano raggiungere il servizio http:
access-list 103 permit tcp 192.168.0.0 .0.0.0.3 any eq www
ovviamente con questo metodo puoi solo raggruppare indirizzi successivi e non c'è altro modo di procedere con le acl.
access-list 103 permit tcp 192.168.0.0 0.0.0.255 any eq www
se invece vuoi che solo i primi 2 indirizzi possano raggiungere il servizio http:
access-list 103 permit tcp 192.168.0.0 .0.0.0.3 any eq www
ovviamente con questo metodo puoi solo raggruppare indirizzi successivi e non c'è altro modo di procedere con le acl.
CCNA Security,CCDP, CCNP R&S
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Mi sembra che parliamo di asa perciò credo tu possa lavorare con gli object-group, prova a vedere.
Rizio
Rizio
Si vis pacem para bellum
-
Lucake
- n00b
- Messaggi: 18
- Iscritto il: dom 02 dic , 2012 8:26 pm
digitel ha scritto:Il problema e' che gli hosts non sono contigui
Potrebbero essere il .2 .5 .45 .112 .114 .200 (per esempio)
Penso quindi che un bel po di righe per host non me le tolga nessuno....hi
Grazie comunque
....anche io la penso così se non sono contigui,credo che questa sia l'unica soluzione..
