Pagina 1 di 1
access-list per piu' hosts
Inviato: ven 24 mag , 2013 10:39 am
da digitel
Ciao
Ho bisogno di applicare le stesse limitazioni a piu' host seguendo questa regola :
access-list 103 permit tcp host 192.168.0.2 any eq www
access-list 103 permit tcp host 192.168.0.2 any eq pop3
access-list 103 permit tcp host 192.168.0.2 any eq 443
access-list 103 deny tcp host 192.168.0.2 any
access-list 103 deny udp host 192.168.0.2 any
.
.
.
.
access-list 103 permit ip any any
come posso fare per evitare di inserire tutta la pappardella ogni volta per un host diverso ? (magari 50 host)
posso raggruppare i tre servizi desiderati (www pop https) in una unica regola a cui ogni singolo host fa riferimento ??
Posso altresi' creare una lista di host (anche non contigui in numerazione) a cui applicare l'unica regola di cui sopra ??
Grazie
Federico
Re: access-list per piu' hosts
Inviato: ven 24 mag , 2013 11:17 am
da Rizio
Dipende da che versione di ios monti ma sull'asa ci sono gli object-group. Crei un object-group con le porte e i protocolli che vuoi controllare e applichi le acl agli host con un object-group.
Altrimenti potresti cercare di raccogliere tutti gli host che devi controllare all'interno di una net riassumibile con una unica netmask e applichi l'acl a tutta la net con la netmask giusta che prenda solo gli host che ti interessano.
Rizio
Re: access-list per piu' hosts
Inviato: gio 30 mag , 2013 4:11 pm
da digitel
Grazie per la risposta,
Il router comunque e' un 877, no asa o pix
Pensavo si potesse dichiarare una lista di indirizzi ip da associare ad una access-list...
Re: access-list per piu' hosts
Inviato: gio 30 mag , 2013 4:21 pm
da Rizio
In base alla versione di IOS che monta il tuo 877 se trovi il comando object-group lo puoi fare.
Rizio
Re: access-list per piu' hosts
Inviato: sab 01 giu , 2013 12:46 am
da Braveheart84
Rizio ha scritto:
Altrimenti potresti cercare di raccogliere tutti gli host che devi controllare all'interno di una net riassumibile con una unica netmask e applichi l'acl a tutta la net con la netmask giusta che prenda solo gli host che ti interessano.
Rizio
esatto! Con una wildcard mirata blocchi gli host che desideri. Cmq prova a darmi il range dei ceh vuoi bloccare e vedo di trovarti la wildcard:)
Re: access-list per piu' hosts
Inviato: dom 02 giu , 2013 1:47 pm
da scolpi
Se ad esempio vuoi permettere a tutti gli host nella 192.168.0.0/24 puoi usare:
access-list 103 permit tcp 192.168.0.0 0.0.0.255 any eq www
se invece vuoi che solo i primi 2 indirizzi possano raggiungere il servizio http:
access-list 103 permit tcp 192.168.0.0 .0.0.0.3 any eq www
ovviamente con questo metodo puoi solo raggruppare indirizzi successivi e non c'è altro modo di procedere con le acl.
Re: access-list per piu' hosts
Inviato: mar 11 giu , 2013 9:26 am
da digitel
Il problema e' che gli hosts non sono contigui
Potrebbero essere il .2 .5 .45 .112 .114 .200 (per esempio)
Penso quindi che un bel po di righe per host non me le tolga nessuno....hi
Grazie comunque
Re: access-list per piu' hosts
Inviato: mar 11 giu , 2013 9:36 am
da Rizio
Mi sembra che parliamo di asa perciò credo tu possa lavorare con gli object-group, prova a vedere.
Rizio
Re: access-list per piu' hosts
Inviato: mar 11 giu , 2013 3:58 pm
da Lucake
digitel ha scritto:Il problema e' che gli hosts non sono contigui
Potrebbero essere il .2 .5 .45 .112 .114 .200 (per esempio)
Penso quindi che un bel po di righe per host non me le tolga nessuno....hi
Grazie comunque
....anche io la penso così se non sono contigui,credo che questa sia l'unica soluzione..