Il tuo indirizzo IP è 162.158.78.157     

Cisco ACL: configurazioni di base

Written by Alessio Carta on . Posted in CCNA Security . Hits: 18215

Sui router Cisco, l’implementazione delle tecnologie di firewalling, almeno per una configurazione base, si ottiene tramite le Access Control Lists (ACL), funzionalità che permette un filtraggio del traffico basato principalmente sull’indirizzamento IP e sulle porte TCP e UDP. Ad esempio, un’ACL può permettere agli utenti con uno specifico indirizzo di rete di scaricare files da Internet tramite una connessione FTP, bloccando altri tipi di connessioni dalla stessa rete e bloccando inoltre qualsiasi altro traffico da indirizzi IP sorgenti diversi da quelli specificati.

Comments  

# Franco 2015-05-06 12:09
Buongiorno,
sono alle prime armi con IOS e sto cercando di implementare una ACL per limitare la banda a disposizione per ogni indirizzo IP in un range con il comando rate-limit a 200k, ma non riesco a trovare una soluzione.
Al momento ho implementato questo solo che in questo modo l'intera vlan ha il limite COMLPESSIVO di 200k e non 200k per OGNI ip. E' possibile realizzarlo?
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
rate-limit output access-group 101 1600000 2400000 2400000 conform-action transmit exceed-action drop
!
access-list 101 remark *** OpenSpace - in ***
access-list 101 permit ip any any
!
Reply
# paola 2015-03-31 15:12
Help

con un vecchio cisco 1841 dovrei far transitare dalla FastEth 0/0 all fastEth 0/1 tutto il traffico con mask 255.0.0.0 ma mi segnala un errore di maschera rispetto al tipo di interfaccia. Come ne esco?
Reply
# Andrea 2015-04-28 16:53
che ip hanno le due fastEth?
Reply
# Massimiliano 2011-07-18 10:55
Quoting patrizio:
sarebbe possibile realizzare una ACL che filtri solamente la prima metà degli indirizzi ip di una subnet ?


Certamente: se ad esempio prendi la rete 192.168.0.0/24, hai che la prima metà degli indirizzi corrisponde al range 192.168.1.1-192 .168.127, che guarda caso corrisponde alla rete 192.168.0.0/25 (in tal caso 127 sarebbe di broadcast). L'altra metà corrisponde invece alla rete 192.168.0.128/25.

Utilizzando una maschera inversa, la rete 192.168.0.0/25 diventa 192.168.0.0 0.0.0.127. A questo punto crei un filtro per questa rete, il restante viene tutto bloccato per la negazione implicita “deny ip any any”.
Reply
# patrizio 2011-07-06 12:12
sarebbe possibile realizzare una ACL che filtri solamente la prima metà degli indirizzi ip di una subnet ?
Reply
+1 # Alessio 2010-07-21 16:27
Quoting Raffaele:
Grazie della risposta..quindi in pratica anche su degli switch 3750 sui quali volessi applicare delle acl,per far si che un singolo host venga appunto "negato" o "permesso",bisognerà risalire al suo ip e non all'hostname che da quanto ho capito non viene riconosciuto come comando nell'acl..Giusto?
Grazie ancora


Esattamente.
Ciao
Reply
# Raffaele 2010-07-21 08:15
Quoting Alessio:
Quoting Raffaele:
Sarebbe possibile configurare una ACL che faccia il deny di un hostname specifico e non solo dell'ip?


No, non si può fare con le acl ma si deve passare al content filtering:

www.cisco.com/.../index.html

Puoi ottenere dei risultati simili con le zone based cisco.com/.../...

Pubblicherò qualcosa a riguardo prossimamente.



Grazie della risposta..quind i in pratica anche su degli switch 3750 sui quali volessi applicare delle acl,per far si che un singolo host venga appunto "negato" o "permesso",biso gnerà risalire al suo ip e non all'hostname che da quanto ho capito non viene riconosciuto come comando nell'acl..Giusto?
Grazie ancora
Reply
# Alessio 2010-07-20 16:11
Quoting Raffaele:
Sarebbe possibile configurare una ACL che faccia il deny di un hostname specifico e non solo dell'ip?


No, non si può fare con le acl ma si deve passare al content filtering:

www.cisco.com/.../index.html

Puoi ottenere dei risultati simili con le zone based cisco.com/.../...

Pubblicherò qualcosa a riguardo prossimamente.
Reply
# Raffaele 2010-07-20 16:08
Sarebbe possibile configurare una ACL che faccia il deny di un hostname specifico e non solo dell'ip?
Reply

Add comment


Security code
Refresh

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni