[ Biljana2006 @ 12.01.2014. 17:59 ] @
Imam 3 VLAN mreže. Programeri, Administratori i Računovodstvo. Treba da napravim access listu kojom zabranjujem da Programeri imaju pristup Administratorima i Računovodstvu. A Administratori mogu da pristupe svima. Na ruteru su napravljani subinterfaci za svaki VLAN.

Ovo su IP adrese i subneti:

Programeri 10.0.2.0/24
Administratori 10.0.3.0/24
Računovodstvo 10.0.4.0/24

Ovo je moja lista implementirane na interfacu rutera za programere fa 0/0.2 u IN smeru

access-list 100 deny ip 10.0.2.0 0.0.0.255 10.0.3.0 0.0.0.255
access-list 100 deny ip 10.0.2.0 0.0.0.255 10.0.4.0 0.0.0.255
access-list 100 permit ip any any

Problem koji se javlja je taj što sada kada pingujem sa Programera Administratore i Računovođe lepo pokaže U.U.U, ali kada probam sa Administratora da pingujem Programere samo mi pokazuje tačkice (...), što znači nešto nije dobro, a treba da ima pristup računarima, jer nigde nisam ograničila pristup Administratora nekom VLAN-u.

Da li možda neko ima ideju šta je problem?
[ Aleksandar Đokić @ 12.01.2014. 18:19 ] @
Citat:
zabranjujem da Programeri imaju pristup Administratorima i Računovodstvu. A Administratori mogu da pristupe svima.


Onda i Administratori nece imati pristup Programerima itd.
[ pajaja @ 12.01.2014. 18:53 ] @
Citat:
Problem koji se javlja je taj što sada kada pingujem sa Programera Administratore i Računovođe lepo pokaže U.U.U, ali kada probam sa Administratora da pingujem Programere samo mi pokazuje tačkice (...), što znači nešto nije dobro, a treba da ima pristup računarima, jer nigde nisam ograničila pristup Administratora nekom VLAN-u.

Da li možda neko ima ideju šta je problem?

Pa diskutabilno je da li je to problem, posto je ovo sto ti se desava ocekivano a i ispunila si zahtev zadatka. Sav saobracaj koji se salje iz Administrator VLAN-a ka Programer VLAN-u stize (to mozes da proveris ako upalis debug ip packet). Ono zbog cega ti ping prikazuje U.U.U je zato sto kao sto je u zadatku navedeno iz Programer VLAN-a je zabranjen pristup Administrator VLAN-u, pa je samim tim i echo-reply filtriran. Ono sto pretpostavljam je cilj ove vezbe je da vidis kako se koristi established kljucna rec za tcp saobracaj, ili refleksivne ACL.
[ Biljana2006 @ 12.01.2014. 20:25 ] @

Onda i Administratori nece imati pristup Programerima itd.[/quote]
Ako bi ovo bilo tačno onda bi trebalo kada pingujem sa administratora da stoji U.U.U, a toga nema!!!

Ne razumem, moj cilj je da Administrator može da priđe Programerima i Računovodstvu, a oni ne mogu Administratoru. Kako onda treba da glasi access lista koja se pošto trenutno posmatram Programere implementira na subinterfacu rutera za Programere?
[ Aleksandar Đokić @ 12.01.2014. 21:23 ] @
Jel procita sta je pajaja napisao? Jel pogleda za sta sluzi "established"?

Ako zabranis Programerima da pristupaju Administratorima, istovremeno su uradila i obratno, jer je sve to dvosmerna komunikacija. Kad neki racunar iz vlana-a Administratori proba da uspostavi konekciju sa nekim iz vlana-a Programeri, kad taj racunar iz vla-na Programeri odgovara na "taj" zahtev, on u paketima koje salje stavi svoju "source" adresu koju si ti zabranila. Zato ti treba da access lista bude bazirana na "stanju" (state) konekcije, i da ta zabrana ne vazi za vec uspostavljene konekcije (established).

Npr, na taj fazon radi "statefull" firewall.
[ Biljana2006 @ 13.01.2014. 09:21 ] @
Jesam pogledala sam refleksivne ACL liste, nisam nikad radila sa njima, u svakom slučaju hvala na uputstvu posto sad znam u kojem pravcu da radim.
[ Biljana2006 @ 13.01.2014. 11:40 ] @
Uspela sam, hvala svima na pomoći!!!
[ pajaja @ 13.01.2014. 18:32 ] @
Citat:
Citat:
Onda i Administratori nece imati pristup Programerima itd.

Ako bi ovo bilo tačno onda bi trebalo kada pingujem sa administratora da stoji U.U.U, a toga nema!!!

Pozdrav,

nije bas tako. ICMP Unreachable poruke se salju sa interfejsa na kome sa ACL filtriras saobracaj, sto je u tvom slucaju Administrator subinterfejs. U tvom slucaju kada programer pinguje administratora (a ICMP je zabranjen) ruter ce kao odgovor na echo poslati destination unreachable. U drugom slucaju kada administrator pinguje programera ne postoji ACL koja ce da blokira ICMP echo i programer ce dobiti zahtev i poslati echo-reply ali ce on biti filtriran sa ACL na subinterfejsu administratora, i samim tim odgovor nece nikada stici. Iz ovog razloga administrator vidi sve tajmautove ..... dok programer vidi unreachable poruke U.U.U (ako zanemarimo dva tajmauta koja se javljaju zbog icmp rate-limit-a).