Acces-list dvije udaljene mreze

[ taleB @ 11.08.2011. 13:28 ] @

Imam dvije udaljene mreze,potrebno je da definisem ACL,da npr mrezi 10.10.10.0 zabranim ulaz u mrezu 20.20.20.0,a da mrezi 20.20.20.0 dozvolim pristup mrezi 10.10.10.0.U slucaju ako koristim standardne ACL situacija je sljedeca,uspijem zabraniti ulazak u mrezu 20.20.20.0,ali imam problem prilikom pristupa mrezi 10.10.10.0,recimo kada pokusam pingati neki host u toj mrezi i prilikom echo reply ACL taj saobracaj mi blokira,,u pitanju je simulacija mreze,ali logika mi nikako ne ide,razmisljao sam o tome da pomocu extended ACL dozvolim ICMP saobracaj a zabranim TCP i UDP ali opet na neki nacin mogu pristupiti toj mrezi :S
pa bih molio pomoc na koji nacin da rjesim ovo,ako je moguce

[ dragansar @ 11.08.2011. 13:40 ] @

A kako pristupas toj mrezi, tj preko cega? Kog protokola? Predpostavljam da se radi o Ciscu :D

[ machiavelli @ 11.08.2011. 20:59 ] @

U kom smeru si postavio definisane access liste?

[ taleB @ 12.08.2011. 15:39 ] @

u pitanju je "skolska" simulacija tako da mislim da je nebitno preko cega pristupam mrezi mislim koji protokol,zadatak je takav da iz jedne mreze trebam zabraniti SAV saobracaj u drugu a iz druge dozvoliti SAV saobracaj,a kada sam koristio standardne ACL ,listu sam stavio na krajnji ruter to jest na ruter koji je izlaz za mrezu u koju ja trebam zabraniti pristup
a poslije sam napravio extended ACL dozvolio sam ICMP saobracaj i zabranio tcp i udp,sto mislim da u praksi bi zadovoljilo,ali i dalje nije zabranjen "SAV" saobracaj,zbog ICMP mogu vrsiti ping prema toj mrezi pa me to malo buni

[ yellow pinky @ 13.08.2011. 12:58 ] @

Da bi ti malo bolje pomogli , okači konfiguraciju ili ako si radio u Packet Traceru celu simulaciju pa da vidimo da li si negde pogrešio.

[ pajaja @ 29.08.2011. 04:02 ] @

Citat:

zadatak je takav da iz jedne mreze trebam zabraniti SAV saobracaj u drugu a iz druge dozvoliti SAV saobracaj

Ne znam da li je ovo aktuelan problem ili ako nije koje je resenje bilo u pitanju? Posto je ovo iz citata malo paradoksalno. Ako zabranis sav saobracaj iz mreze 1. u mrezu 2. a dozvolis obrnuto, ostaces bez odgovora na zahteve pa efektivno neces moci da pristupis mrezi 1. iz mreze 2. Ako treba bas da se uradi ovo citirano to je jednostavno ali je pitanje koliko je upotrebljivo takvo resenje.

[ djk494 @ 29.08.2011. 06:46 ] @

Mozda je ideja da se koristi "established" keyword.

http://www.cisco.com/en/US/cus...0100548.shtml#internalnetworks

hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any any gt 1023 established

[ pajaja @ 31.08.2011. 18:08 ] @

Pozdrav,

izvinjavam se ako sam pogresno u prethodnom postu pretpostavio da se radi o najosnovnijim std/extended acl i bukvalno shvatio zadatak. Ako je zadatak da se dozvole samo odgovori na zahteve van mreze onda ovo sto je djaki predlozio moze biti resenje. Treba samo imati u vidu da ce to raditi samo za tcp posto proverava ack/rst flagove u tcp paketima. Ako je potrebno da se obuhvate i drugi protokoli iskoristi reflexive acl. Na primer ako imas mrezu za koju zelis da moze samo da odgovara na zahteve na njenom ruteru mozes da napravis dve acl:

ip access-list extended inbound

  permit tcp any any reflect RFLCT

  permit udp any any reflect RFLCT

  ...[koji ti vec protokoli trebaju]...

  permit icmp any any reflect RFLCT





ip access-list extended outbound

  evaluate RFLCT

i primenis ih na odgovarajuci interfejs. Time ce ostali moci da joj pristupe i da dobiju odgovor na zahtev, ali hostovi iz mreze nece moci da inicijalizuju konekcije. Za detaljniji opis pogledaj ovaj link.
Btw, ne znam u cemu vezbas to, ako je Packet Tracer mislim da neces ovo moci da izvedes, posto je osakacen i nema neke komande.

[ yellow pinky @ 31.08.2011. 20:01 ] @

@Djaki

Established parametar access liste vredi ali samo za TCP saobraćaj. Zato se više i ne koristi.

@all

Mislim da je gospodin taleB ili odavno rešio problem ili je odavno digao ruke :) .
U svakom slučaju pozdravljam vaš entuzijazam.

Najbliži rešenju je pajaja (ili barem ono što ja mislim da je rešenje :) ).

Evo kako bi ja to uradio.

Citat:

R1#show ip access-lists
Extended IP access list Inbound
10 evaluate Temp
20 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
30 permit ip any any
Extended IP access list Outbound
10 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255 reflect Temp
20 permit ip any any
Reflexive IP access list Temp
R1#

Svako dobro,

YP.