i mene ovo zanima, ostale su mi ACL da provezbam, a nikako da krenem...

Verujem da sam ja u startu pogresio u vezi posatvljanja zadatka, posedujem svoju opremu, te nekoristim nista s neta, nego ja sam sebi zadam zadatak koji resavam, naravno u tom slucaju su greske moguce :P

Sta da kazem, nisam resio stvar, prosto nema saobracja izmedju 2 rutera, ako postavim zabranu na icmp, tj acl 30 deny icmp any any echo, ja sam ocekivao da cu dobiti poruku Host Unreachable kada pingujem tamo neki host koji se nalazi iza nekog rutera, ali se to nije desavalo

probao sam da prvo blokiram echo-repley, pa onda u sledecoj da dozvolim host-unreachable, ali sve isto :(, ostale sam stvari provezbao i sve je bilo kako treba, za 10ak dana krecem opet na akademiju boze zdravlja, te cu tamo pitati profesore kako se resava taj moj zadatak, vrlo verovatno ce biti da sam negde nesto pogresio :(

blokada pristupa ssh i telnetu na samom ruteru se radi u vty subkomfiguracionom modu, ali to nije ono sto je meni trebalo, mada nisam probao, mozda i jeste :P

Umesto odgovora, dva nagradna pitanja:

- sta obuhvata wildcard maska 0.0.0.0
- i sta ide implicitno na kraju svake access liste ?

@Optix


Jasne su obe stvari, znam da radim sa wildmaskama :), to sam savladao maltene odmah, uglavnom da odgovorim uz objasnjenje, na kraju svake ACL postoji implicitivni deny ip any any, koji ce zabraniti svaki saobracaj koji nije dozovljen u gornjim linijama ACL-a

data wild maska, koju je optix spomenuo koristi se najcesce u rutiranju, radi pokretanja (ospf, eigrp) procesa na interfejsu na kojeg je nakacena IP adresa uz koju se koristi wildmaska

192.168.1.1 0.0.0.0 obuhvata samo tu IP adesu
192.168.1.0 0.0.0.7 obuhvata od 0 -7
192.168.1.0 0.0.0.15 obuhvata od 0-15




@optix bio sam siguran da nisam napravio gresku na koju ti ciljas, ali sada nemam pojma, nisam sacuvao podesavanja, ali posto su bile adrese iz drugih klasa, sad sam skoro siguran da mi je 3. oktet u podesavanjima bila 0, te da sam tu zeznuo stvar, hvala ti sto si mi skrenuo paznju

Problem je u načinu funkcionisanja ACL-a. Dok su ugašene sav saobraćaj prolazi bez ikakvih problema kroz ruter, čim postaviš tj upališ ACL-u ona na samom svoj kraju ima podrazumevanu liniju deny all, tako da to šta si ti postavio nema mnogo smisla, sa 21 deny icmp 192.168.1.0 0.0.0.255 192.168.64.0 0.0.0.0 eq echo braniš ping, ali posle nje ide deny all i ništa nije dozvoljeno.

ACL liste se mahom koriste da nešto dozvole, dakle dozvoli ssh i www a sve ostalo će biti zabranjeno po defaultu.

Nije bitno da li koristiš standard ili extended obe na samom kraju imaju podrazumevanu liniju deny all.

Jasno mada ja mislim da gresim u samom planu, deny sam stavio da bi bilo ocigledno sta blokiram, jer je cilj da ping ne prodje do hosta, nego da ruter vrati host unreachable,

Nakon optix-ovog posta, pomislio sam da sam lose podesio wildmask, mada to sam dobro uradio, ali pocetku teme nisam dobro napisa maske


dozvoljavao sam prolazi za www, i ssh, ali mi jos nije jasno za host unreachable

U redu koji si ti stavio je pogrešno postavljena maska

3 permit tcp 192.168.1.0 0.0.0.0 host 192.168.64.10 eq www
4 permit tcp 192.168.1.0 0.0.0.0 192.168.64.0 0.0.0.0 eq 22

zato što ti dozvoljavaš da samo source ip 192.168.1.0, ne ta mreža, već taj ip što je nemoguće, treba staviti 0.0.0.255 wildcard masku
pristup ruteru na telnet i ssh se brani na vty linijama kao što si i rekao i za to se najčešće koriste standardne liste.

Čim se upale ACL sve je zabranjeno tako da se one koriste najčešće da dozvoljavaju saobraćaj, a zabrana se koristi ukoliko želiš da nešto izuzmeš, primer:
dozvoliš celoj 102.168.1.0/24 mreži da ima pristup nekoj drugoj mreži, ali jedan host ne treba da ima pristup, tako da ćeš u liniji iznad da staviš deny i ip tog zasebnog hosta.

Za vežbanje ti najlakše da staviš šta god hoćeš da braniš, a iza svega toga da ide
permit ip any any

na kraju liste stavi "10 permit ip any any" jer ako ovog nemas a saobracaj nije selektovan prethodnim linijama nece biti propusten. Ova zadnja linija propusta sve ostalo sto nije blokirano.

Jasno je meni sve, ja i dalje verujem da sam pogresio samo u tekstu u ovoj temi, neverujem da sam omanuo na samom ruteru, jer sam se duze vreme zezao s ovom zadatkom, ostalo sam sve odradio, sem blokiranja pristupa telnetu/ssh na samom vty interfejsu