- Este tópico contém 5 respostas, 3 vozes e foi atualizado pela última vez 16 anos atrás por Marco Filippetti.
-
AutorPosts
-
abril 28, 2008 às 1:57 pm #42476Plinio MonteiroParticipante
Galera, estou tentando implementar a seguinte ACL, mas estou tendo problemas.
Eu tenho um Switch 6500 que tem várias Vlans, onde uma delas é a Vlan para wireless (10.100.50.0) e uma outra é da rede interna (10.1.15.0) então, no switch, eu estou criando o seguinte:
ip access-list extended acl_wireless
permit ip 10.100.50.0 0.0.0.255 10.1.15.0 0.0.0.255
permit ip 10.1.15.0 0.0.0.255 10.100.50.0 0.0.0.255
deny ip any anyTentando permitir o acesso da rede 10.100.50.0 (que é uma rede para usuários que seriam “visitantes”) apenas a rede 10.1.15.0. Até aí funciona blz, sendo que eu quero liberar o acesso à internet e aí é que está o problema. Como eu deveria fazer? Alguma sugestão? Se estiver falando alguma informação, podem perguntar.
Agradeço desde já.
abril 28, 2008 às 4:58 pm #53349FabianParticipantePlinio,
Eu também estou com uma duvida com ACL, possuo 2 links dedicado de internet, um 200.xxx.xxx.xxx e outro 201.xxx.xxx.xxx.
Quero permitir telnet apenas na rede interna atraves da interface FastEthernet0, estou bloqueando as seriais.
interface Serial0
bandwidth 2048
ip address 201.xxx.xxx.xxx 255.255.255.252
ip access-group 115 in
encapsulation ppp
interface Serial1
ip address 200.xxx.xxx.xxx 255.255.255.252
ip access-group 115 in
encapsulation ppp
interface FastEthernet0
ip address 201.xxx.xxx.xxx 255.255.255.0
access-list 115 deny tcp any any eq telnet
Mas não esta bloqueando,
[]´s
Fabian
abril 28, 2008 às 6:37 pm #53350Marco FilippettiMestreCaros, vocês devem também dizer ONDE estão aplicando estas ACLs, e em qual direção (IN ou OUT)…!
Plínio, no seu caso, como vc quer liberar apenas o acesso à uma única rede interna, e à toda a Internet, o melhor meio seria algo assim (supondo que todas as suas redes internas sejam 10.x.x.x):
permit ip 10.100.50.0 0.0.0.255 10.1.15.0 0.0.0.255
permit ip 10.1.15.0 0.0.0.255 10.100.50.0 0.0.0.255
deny ip 10.0.0.0 0.255.255.255 any
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
Desta forma, o acesso da rede 10.100.50.x à rede 10.1.15.x será permitido em ambas as direções, todo o acesso à qualquer outra rede interna será negado, e qualquer outro acesso (ex. Internet), será permitido.
Se você apenas quer barrar o acesso à rede 10.x.x.x (interna), este é um modo fácil de faze-lo. Se existem mais redes à serem barradas, dependendo da quantidade, vc pode ter um pouco de dor de cabeça. Talvez, aí, valha a pena pesquisar outra maneira de faze-lo.
Abs!
Marco.
abril 28, 2008 às 7:46 pm #53351Plinio MonteiroParticipanteOk Marco, muito obrigado. Estarei colocando em teste aqui e dou um retorno.
Obrigado.
abril 29, 2008 às 8:58 am #53352FabianParticipanteMarco,
No meu caso estou aplicando as ACL nas seriais e o trafego é IN, a idéia é que só possa ser acessado os roteadores pela rede interna e não pela internet (Rede Externa).
[]´s
Fabian
abril 29, 2008 às 11:00 am #53353Marco FilippettiMestreFabian, no seu caso, a ACL está incorreta. Pelo que você colocou, aliás, deveria estar bloqueando TODO o tráfego, e não apenas Telnet. Veja bem:
access-list 115 deny tcp any any eq telnet
Não se esqueça que existe uma linha no fim da ACL que nega tudo! Ou seja, se a sua ACL for mesmo apenas isso, todo tráfego entrante fica bloqueado.
De resto, sua ACL está correta. Tente algo assim:
access-list 115 deny tcp any any eq telnet
access-list 115 permit ip any any
Mas lembre-se, como é uma interface com conexão direta com a Internet, talvez não seja prudente deixar a ACL apenas com estas 2 regras.
OBS: Se sua intenção é coibir o acesso telnet apenas ao router em questão, o melhor caminho é criar uma ACL e aplica-la na linha Telnet (VTY), e não na porta serial.
Abs
Marco.
-
AutorPosts
- Você deve fazer login para responder a este tópico.