CiscoForums.it

Salve a tutti.

Ultimamente sto studiando le ACL, ma non ho ben chiaro il comportamento di questa ACL:

Configuration commands for the router: 192.168.3.1
saved on 10-giu-2006 10.03.25
----------------------------------------------------------------------------
access-list 103 remark auto generated by SDM firewall configuration
access-list 103 remark SDM_ACL Category=1
access-list 103 permit tcp any any eq 4662
access-list 103 permit udp any any eq 4672
access-list 103 permit ahp host xxx any
access-list 103 permit esp host xxx any
access-list 103 permit udp host xxx eq isakmp
access-list 103 permit udp host xxx any eq non500-isakmp
access-list 103 permit ip xxx 0.0.0.255 192.168.3.0 0.0.0.255
access-list 103 deny ip 192.168.3.0 0.0.0.255 any
access-list 103 permit icmp any any echo-reply
access-list 103 permit icmp any any time-exceeded
access-list 103 permit icmp any any unreachable
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip host 0.0.0.0 any
access-list 103 deny ip any any log
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any any
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
interface Dialer0
description $FW_OUTSIDE$
ip access-group 103 in
ip inspect SDM_LOW out
exit
! IP address / user account command
interface Ethernet0
description $FW_INSIDE$
ip access-group 102 in
********************************

Questa ACL l'ho provata e funziona (Emule mi da ID basso ma ci applicherò poi):navigo, scarico posta, il tunnel VPN funziona ecc. Il dubbio è: considerato il deny implicito in fondo alle ACL, perché la 103 permette di navigare e ricevere dati? Non dovrebbe negare qualsiasi traffico che non coincide con quello di orgine della VPN?
Mentre scrivo forse ho un'illuminazione: sarà che non c'è uno statement esplicito sul protocollo TCP, quindi i pacchetti non vengono processati? Oppure no? Boh...

PS: ero indeciso se postare qui o sul sottoforum della sicurezza; ho sbagliato?

L'ACL 103 è applicata in entrata sulla Dialer0, quindi dalla WAN verso la LAN. Dato che tu sei dentro la LAN, puoi navigare in quanto le regole non riguardano te ma solo chi sta fuori.
Per l'ID Basso devi nattare staticamente l'host che usi con emule, aggiungendo alla configurazione:

ip nat insisde source static tcp ip_interno 4662 interface Dialer 0 4662
ip nat insisde source static udp ip_interno 4672 interface Dialer 0 4672

Per quanto riguarda emule, lo avevo già nattato, ma non funziona lo stesso. Avrà bisogno di altre porte aperte, boh...

Per quanto riguarda la ACL 103 non mi torna uguale!

Dato che tu sei dentro la LAN, puoi navigare in quanto le regole non riguardano te ma solo chi sta fuori.

Ok, ma quando io, ad esempio, navigo mando dei pacchetti che escono senza problemi perché non ci sono ACL in uscita... il sito web però mi deve rispondere inoltrandomi dei dati: lì i pacchetti dalla WAN a me devono essere processati. Perché passano se non c'è uno statement "permit" ecc?