Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?
grazie mille.
Deny SSH switch da uno specifico Host
Moderatore: Federico.Lagni
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
Ragazzi purtroppo ho un problema del quale non riesco a venirne a capo...
Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?
grazie mille.
Devo bloccare un host dal fare SSH su uno sw con un ACL ovviamente...
questo è lo schema:
PC2 su vlan 20 non deve fare ssh su SW (MGMT VLAN 99)...i gw sono le subinterface su R1 (G0/0.99 e .20)
come devo impostare l'ACL sul router?
grazie mille.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Dovrebbe andare.
Paolo
Codice: Seleziona tutto
ip access-list extended SshlAccess
deny tcp host IP_PC2 any eq 22
deny udp host IP_PC2 any eq 22
permit ip any any
line vty 0 15
access-class SshlAccess in
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?
grazie
sullo switch non posso fare le acl...
l'acl nn va sul router?
grazie
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Hai provato? Che firmware hai?ryosaeba86 ha scritto:ciao scusami...ma su quali linee vty???
sullo switch non posso fare le acl...
l'acl nn va sul router?
grazie
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
questo non capisco...
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Le ACL sugli switch L2 hanno delle limitazioni, ma che mi risulti sui 2960 puoi usarli nelle vty (hanno qualche funzione L3 tipo SVI).ryosaeba86 ha scritto:no non ho provato..ma lo switch L2 come fa a filtrar traffico ip?
questo non capisco...
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
fatto...grazie mille..
avevo quella convinzione e non avevo mai provato sullo sw.
avevo quella convinzione e non avevo mai provato sullo sw.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Bene
Ciao
Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
scusa se ci torno ma è per capire meglio queste ACl...come deny host ovviamente ho inserito quello di PC2...ma facendo ssh da un'altra net...il pacchetto non si presenta allo sw con IP sorgente uguale al Gw della VLAN 99???
io ho bloccato un pc vlan 20 che ha gw sottointerfaccia sul router..poi dovrebbe fare inter-vlan routing ...e non si presenta con IP del pc..quindi l'acl come fa a bloccarlo..!!!
io ho bloccato un pc vlan 20 che ha gw sottointerfaccia sul router..poi dovrebbe fare inter-vlan routing ...e non si presenta con IP del pc..quindi l'acl come fa a bloccarlo..!!!
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Facendo inter-vlan roouting non viene cambiato l'IP sorgente (a meno di NAT). La acl funziona per quel motivo.
So di essere molto stringato, ma sono oberato di lavoro. Comunque se hai dubbi scrivi che cerco di spiegarmi meglio.
Paolo
Facendo inter-vlan roouting non viene cambiato l'IP sorgente (a meno di NAT). La acl funziona per quel motivo.
So di essere molto stringato, ma sono oberato di lavoro. Comunque se hai dubbi scrivi che cerco di spiegarmi meglio.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
ryosaeba86
- n00b
- Messaggi: 17
- Iscritto il: ven 10 gen , 2014 2:12 pm
nono grazie dell'aiuto..ero io che stavo facendo una confusione assurda...giustamente nei passaggi L3 ip source e destination rimangono gli stessi (a meno di nat) appunto...quindi l'acl giusto cosi.
