CiscoForums.it

Inviato: **ven 24 mag , 2013 10:47 am**

seguendo questa regola :

access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny tcp host 192.168.0.1 any
access-list 101 deny udp host 192.168.0.1 any
.
.
access-list 101 permit ip any any

vorrei permettere all'host 192.168.0.1 di effettuare solamente traffico uscente in porta 80 e bloccare qualsiasi altro tipo di traffico sia tcp che udp

In effetti qualsiasi connessione tcp che non sia la 80 viene bloccata
Continua a passare pero' tutto il traffico UDP

L'unica soluzione e' cambiare :

access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny tcp host 192.168.0.1 any
access-list 101 deny udp host 192.168.0.1 any
.
.
access-list 101 permit ip any any

in :

access-list 101 permit tcp host 192.168.0.1 any eq www
access-list 101 deny ip host 192.168.0.1 any
.
.
access-list 101 permit ip any any

Chi mi sa spiegare perche ???

Grazie
Federico

Inviato: **ven 24 mag , 2013 11:18 am**

La regola mi sembra scritta bene, si vede che ti è rimasto qualcosa di "sporco" nel router, potresti provare a writare la conf e riavviare. Altrimenti ci sono tutti i vari comandi clear da dare ma dipende cosa è rimasto "sporco".
Rizio

Inviato: **sab 25 mag , 2013 6:30 pm**

anche a me pare scritto bene, ma cmq per come la vedo io la soluzione migliore è l'ultima forma che hai scritto:)

Inviato: **mar 28 mag , 2013 12:33 pm**

...anche secondo me è giustissima,l'unica cosa attenzione ad applicarla correttamente(in o out) altrimenti il risultato è l'opposto....

Inviato: **gio 30 mag , 2013 4:14 pm**

Ok provo a fare un write e un riavvio (oppure un erase e ributto dentro tutto)
Anche la soluzione "deny ip host..." comunque mi funziona bene...

Ciao e grazie

Inviato: **gio 30 mag , 2013 4:25 pm**

Il write erase e ricaricare la stessa conf non ti porta a nulla (a meno che tu non tema di aver commesso degli errori di battitura prima), mentre invece un riavvio ogni tanto aiuta anche i cisco (purtroppo).

Rizio

Inviato: **ven 31 mag , 2013 2:26 pm**

effettivamente mi domando: ma dove l'hai applicata?

Inviato: **ven 31 mag , 2013 4:52 pm**

L'ho applicata alla Vlan1 dell'877 (192.168.0.254 interfaccia LAN) :

Ip access-group 101 in

Inviato: **dom 02 giu , 2013 2:07 pm**

per curiosità che versione di ios hai? Magari c'è qualche baco.
Dove lavoro io di bachi sugli ios ne troviamo parecchi, a volte poi da cisco li sistemano e dopo l'upgrade ne troviamo di nuovi introdotti dal bugfix. Ormai il mio collega, quando in cisco lo sentono si mettono in malattia

Ciao

Inviato: **mar 04 giu , 2013 2:48 pm**

(C870-ADVIPSERVICESK9-M), Version 12.4(15)T9

CiscoForums.it

Stranezza nella access-list

Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list

Re: Stranezza nella access-list