si, ha ragione mrCisco.
pensala così:
prima di aggiungere l'istruzione di mrCisco:
1) il ping esce dal tuo pc ed entra nell'interfaccia e0
2) il ping esce da dialer1
3) il ping raggiunge il sito che hai pingato
4) il sito risponde echo-reply
5) echo-reply arriva all'interfaccia dialer1 e, come gli abbiamo detto, può entrare
6) echo-reply raggiunge ethernet0. ora, icmp non può rientrare nella categoria degli established perché solo tcp può esserlo, quindi, visto che non abbiamo citato echo-reply tra le cose che possiamo accettare, lo scarta.
con l'istruzione di mrCisco, echo-reply viene accettata anche su ethernet0
ACL per BLocco PING
Moderatore: Federico.Lagni
-
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
Cavolo è vero..... Non avevo pensato di vederla in questo modo... con il permit ip any any renderei annullerei tutte le acl in deny???
Grazie davvero per la bella lezione (in tutti i sensi) che mi state impartendo, avreste un libro da consigliarmi magari con lo scopo di preparare ad un ccna?
Grazie davvero per la bella lezione (in tutti i sensi) che mi state impartendo, avreste un libro da consigliarmi magari con lo scopo di preparare ad un ccna?
-
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
sì, qualcosa del genere.con il permit ip any any renderei annullerei tutte le acl in deny???
Indubbiamente i libri di Wendel Odom sono un must... se sei ferrato in inglese, perché non sono stati tradotti. Li puoi acquistare su Amazon tramite il forum (grazie) nella sezione LIBRI. Ti conviene comprarli qui perché ordinandoli in libreria ti farebbero un salasso tanto mentre su amazon sono veramente accessibiliavreste un libro da consigliarmi magari con lo scopo di preparare ad un ccna?
-
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
Grazie degli ottimi consigli ancora un paio di cosette: la prima riguardo ai libri di Wendel Odom, quali titoli scegliere sicuramente uno quello dell'INTRO poi?
La seconda sempre riguardo le ACL
L'ultima acl ext 103 non potrebbe essere potenzialmente dannosa come lo è riferita all'eth0 in out???? Cosa cambia nello specifico? Anche qui in questo caso il permit ip any any "annullerebbe" quanto scritto prima, ma ho verificato che non è così, quindi deduco che l'ordine con cui vengono scritte le ACL è di fondamentale importanza e non ha come dire, consentitemi il termine non molto appropriato, una "proprietà commutativa"; ritornando ancora sul discorso dell'eth0 basterebbe solo anteporre al permit ip any any altre acl in deny per bloccare altri "servizi" potenzialmente pericolosi.... E' così? Correggettemi se ancora sto sbagliando....
Grazie 1000 intanto ho acquistato il libro di Wendel sull'INTRO
La seconda sempre riguardo le ACL
Codice: Seleziona tutto
int dialer 1
ip access-group 103 in
!
!
access-list 103 deny tcp any any eq telnet
access-list 103 deny tcp any any eq 22
access-list 103 deny tcp any any eq ftp
access-list 103 permit icmp any any echo-reply
access-list 103 deny icmp any any
access-list 103 permit ip any any
Grazie 1000 intanto ho acquistato il libro di Wendel sull'INTRO
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Per i libri di certificazione CCNA, servono sia l'INTRO che l'ICND.
Per quanto riguarda la tua domanda sull'ACL, ovvio che un permit ip any any può essere dannoso, ma tutto dipende da dove è posizionato.
Al router (fine a se stesso) fanno paura solo alcuni protocolli: telnet, ftp, tftp, snmp ed ssh. In realtà non dovrebbero nemmeno scalfirlo, se hai configurato bene il router, ma è bene fare gli scongiuri con una ACL ad hoc come la nostra 103.
Per il resto, i dati possono tranquillamente entrare nel router, ci penserà l'ACL 102 a fare tutto il lavoro di protezione dei PC.
Ti domanderai perché invece non facciamo fare tutto a Dialer1... ma questo è un discorso un po' lungo che ha a che fare con in NAT e magari ne parleremo in un altro thread.
Per quanto riguarda la tua domanda sull'ACL, ovvio che un permit ip any any può essere dannoso, ma tutto dipende da dove è posizionato.
Al router (fine a se stesso) fanno paura solo alcuni protocolli: telnet, ftp, tftp, snmp ed ssh. In realtà non dovrebbero nemmeno scalfirlo, se hai configurato bene il router, ma è bene fare gli scongiuri con una ACL ad hoc come la nostra 103.
Per il resto, i dati possono tranquillamente entrare nel router, ci penserà l'ACL 102 a fare tutto il lavoro di protezione dei PC.
Ti domanderai perché invece non facciamo fare tutto a Dialer1... ma questo è un discorso un po' lungo che ha a che fare con in NAT e magari ne parleremo in un altro thread.
-
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
1 "CCNA INTRO Exam Certification Guide (CCNA Self-Study, 640-821, 640-801), First Edition"
Questo è il titolo del libro per la precisione credo che per iniziare non sia sbagliato so comunque che uno non può bastare... [/quote]
-
- Cisco fan
- Messaggi: 26
- Iscritto il: lun 23 ago , 2004 5:27 pm
si è quello e ti spiega dai fondamenti del networking (ISO/OSI, TCP/IP ecc) fino alle tecnologie di rete come Ethernet, atm, frame-relay ecc. in più c'è la teoria del funzionamento dei router cisco.
l'ICND invece va più sul pratico.
Sono comunque due testi ottimi.
l'ICND invece va più sul pratico.
Sono comunque due testi ottimi.
-
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
Perfetto Grazie a tutti di questi preziosi consigli in effetti la mia idea iniziale sarebbe stata quella di far fare tutto alla dialer e magari implementando anche qualche acl sulla source list del nat, a dir la verità avevo già sperimentato qualche "alchimia" ottenendo solo insuccessi, sarei davvero interessato a discuterne in un altro thread ma non vorrei abusare della vostra pazienza
Per quanto riguarda il libro sull'ICND quindi è valido anche per preparare ad un CCNA mi fido di voi, alla fine i prezzi sono davvero più abbordabili qui con Amazon che anche su altri siti "sedicenti" "economici"....
Per quanto riguarda il libro sull'ICND quindi è valido anche per preparare ad un CCNA mi fido di voi, alla fine i prezzi sono davvero più abbordabili qui con Amazon che anche su altri siti "sedicenti" "economici"....
-
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
se non ci foste voi che fate domande, cos'avremmo da fare a lavoro ? (spero che il capo non conosca questo forum.... )sarei davvero interessato a discuterne in un altro thread ma non vorrei abusare della vostra pazienza
l'esame CCNA è diviso in due parti, INTRO e ICND. ti servono tutti e due per conseguire la certificazione.Per quanto riguarda il libro sull'ICND quindi è valido anche per preparare ad un CCNA mi fido di voi
Eh, Amazon fa le cose per bene... se hai intenzione di fare l'ordine, ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favorei prezzi sono davvero più abbordabili qui con Amazon che anche su altri siti "sedicenti" "economici"....
-
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
Bè allora quando troverete del tempo sarò lieto di leggere :
E presto lo faro anche con l'ICND a titolo di "un'umile" forma di riconoscenza verso questo forum
Ti domanderai perché invece non facciamo fare tutto a Dialer1... ma questo è un discorso un po' lungo che ha a che fare con in NAT e magari ne parleremo in un altro thread.
Già fatto con "CCNA INTRO Exam Certification Guide (CCNA Self-Study, 640-821, 640-801), First Edition"ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favore
E presto lo faro anche con l'ICND a titolo di "un'umile" forma di riconoscenza verso questo forum
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
mrCisco... non ci si struscia così... eheheh ! sei un ottimo venditore!ti pregherei di farlo attraverso la nostra sezione LIBRI; il costo è lo stesso e ci faresti un gran favore
preferirei tu lo facessi (e in realtà so che è così) per il principio che knowledge is power (la conoscenza è potere)E presto lo faro anche con l'ICND a titolo di "un'umile" forma di riconoscenza verso questo forum
La miglior riconoscenza è che tu in futuro possa correggerci quando sbagliamo ... io e mrCisco siamo dei distratti cronici