Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Acces-list dvije udaljene mreze

[es] :: Enterprise Networking :: Acces-list dvije udaljene mreze

[ Pregleda: 2524 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

taleB
Zenica,BiH

Član broj: 288965
Poruke: 14
46.35.131.*



Profil

icon Acces-list dvije udaljene mreze11.08.2011. u 13:28 - pre 153 meseci
Imam dvije udaljene mreze,potrebno je da definisem ACL,da npr mrezi 10.10.10.0 zabranim ulaz u mrezu 20.20.20.0,a da mrezi 20.20.20.0 dozvolim pristup mrezi 10.10.10.0.U slucaju ako koristim standardne ACL situacija je sljedeca,uspijem zabraniti ulazak u mrezu 20.20.20.0,ali imam problem prilikom pristupa mrezi 10.10.10.0,recimo kada pokusam pingati neki host u toj mrezi i prilikom echo reply ACL taj saobracaj mi blokira,,u pitanju je simulacija mreze,ali logika mi nikako ne ide,razmisljao sam o tome da pomocu extended ACL dozvolim ICMP saobracaj a zabranim TCP i UDP ali opet na neki nacin mogu pristupiti toj mrezi :S
pa bih molio pomoc na koji nacin da rjesim ovo,ako je moguce
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.paleol.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Acces-list dvije udaljene mreze11.08.2011. u 13:40 - pre 153 meseci
A kako pristupas toj mrezi, tj preko cega? Kog protokola? Predpostavljam da se radi o Ciscu :D

Šaka
 
Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
*.dynamic.sbb.rs.



+164 Profil

icon Re: Acces-list dvije udaljene mreze11.08.2011. u 20:59 - pre 153 meseci
U kom smeru si postavio definisane access liste?
 
Odgovor na temu

taleB
Zenica,BiH

Član broj: 288965
Poruke: 14
*.telekabel.ba.



Profil

icon Re: Acces-list dvije udaljene mreze12.08.2011. u 15:39 - pre 153 meseci
u pitanju je "skolska" simulacija tako da mislim da je nebitno preko cega pristupam mrezi mislim koji protokol,zadatak je takav da iz jedne mreze trebam zabraniti SAV saobracaj u drugu a iz druge dozvoliti SAV saobracaj,a kada sam koristio standardne ACL ,listu sam stavio na krajnji ruter to jest na ruter koji je izlaz za mrezu u koju ja trebam zabraniti pristup
a poslije sam napravio extended ACL dozvolio sam ICMP saobracaj i zabranio tcp i udp,sto mislim da u praksi bi zadovoljilo,ali i dalje nije zabranjen "SAV" saobracaj,zbog ICMP mogu vrsiti ping prema toj mrezi pa me to malo buni
 
Odgovor na temu

yellow pinky
Niš

Član broj: 28354
Poruke: 193
*.dynamic.isp.telekom.rs.



+13 Profil

icon Re: Acces-list dvije udaljene mreze13.08.2011. u 12:58 - pre 153 meseci
Da bi ti malo bolje pomogli , okači konfiguraciju ili ako si radio u Packet Traceru celu simulaciju pa da vidimo da li si negde pogrešio.
 
Odgovor na temu

pajaja
Beograd

Administrator
Član broj: 41598
Poruke: 3430
*.dynamic.sbb.rs.

Jabber: pajaja@elitesecurity.org
ICQ: 253317269


+144 Profil

icon Re: Acces-list dvije udaljene mreze29.08.2011. u 04:02 - pre 153 meseci
Citat:
zadatak je takav da iz jedne mreze trebam zabraniti SAV saobracaj u drugu a iz druge dozvoliti SAV saobracaj

Ne znam da li je ovo aktuelan problem ili ako nije koje je resenje bilo u pitanju? Posto je ovo iz citata malo paradoksalno. Ako zabranis sav saobracaj iz mreze 1. u mrezu 2. a dozvolis obrnuto, ostaces bez odgovora na zahteve pa efektivno neces moci da pristupis mrezi 1. iz mreze 2. Ako treba bas da se uradi ovo citirano to je jednostavno ali je pitanje koliko je upotrebljivo takvo resenje.
xxx
mali mali mali kamičak...nebo plave boje.
In Memoriam: Madzone Zeka(15.09.2005-16.09.2005)
 
Odgovor na temu

djk494

Član broj: 494
Poruke: 320
*.dynamic.isp.telekom.rs.



+39 Profil

icon Re: Acces-list dvije udaljene mreze29.08.2011. u 06:46 - pre 153 meseci
Mozda je ideja da se koristi "established" keyword.

http://www.cisco.com/en/US/cus...0100548.shtml#internalnetworks

hostname R1
!
interface ethernet0
ip access-group 102 in
!
access-list 102 permit tcp any any gt 1023 established

 
Odgovor na temu

pajaja
Beograd

Administrator
Član broj: 41598
Poruke: 3430
*.dynamic.sbb.rs.

Jabber: pajaja@elitesecurity.org
ICQ: 253317269


+144 Profil

icon Re: Acces-list dvije udaljene mreze31.08.2011. u 18:08 - pre 153 meseci
Pozdrav,

izvinjavam se ako sam pogresno u prethodnom postu pretpostavio da se radi o najosnovnijim std/extended acl i bukvalno shvatio zadatak. Ako je zadatak da se dozvole samo odgovori na zahteve van mreze onda ovo sto je djaki predlozio moze biti resenje. Treba samo imati u vidu da ce to raditi samo za tcp posto proverava ack/rst flagove u tcp paketima. Ako je potrebno da se obuhvate i drugi protokoli iskoristi reflexive acl. Na primer ako imas mrezu za koju zelis da moze samo da odgovara na zahteve na njenom ruteru mozes da napravis dve acl:
ip access-list extended inbound
permit tcp any any reflect RFLCT
permit udp any any reflect RFLCT
...[koji ti vec protokoli trebaju]...
permit icmp any any reflect RFLCT


ip access-list extended outbound
evaluate RFLCT

i primenis ih na odgovarajuci interfejs. Time ce ostali moci da joj pristupe i da dobiju odgovor na zahtev, ali hostovi iz mreze nece moci da inicijalizuju konekcije. Za detaljniji opis pogledaj ovaj link.
Btw, ne znam u cemu vezbas to, ako je Packet Tracer mislim da neces ovo moci da izvedes, posto je osakacen i nema neke komande.
xxx
mali mali mali kamičak...nebo plave boje.
In Memoriam: Madzone Zeka(15.09.2005-16.09.2005)
 
Odgovor na temu

yellow pinky
Niš

Član broj: 28354
Poruke: 193
*.dynamic.isp.telekom.rs.



+13 Profil

icon Re: Acces-list dvije udaljene mreze31.08.2011. u 20:01 - pre 153 meseci
@Djaki

Established parametar access liste vredi ali samo za TCP saobraćaj. Zato se više i ne koristi.

@all

Mislim da je gospodin taleB ili odavno rešio problem ili je odavno digao ruke :) .
U svakom slučaju pozdravljam vaš entuzijazam.

Najbliži rešenju je pajaja (ili barem ono što ja mislim da je rešenje :) ).

Evo kako bi ja to uradio.

Citat:
R1#show ip access-lists
Extended IP access list Inbound
10 evaluate Temp
20 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
30 permit ip any any
Extended IP access list Outbound
10 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255 reflect Temp
20 permit ip any any
Reflexive IP access list Temp
R1#



Svako dobro,

YP.





 
Odgovor na temu

[es] :: Enterprise Networking :: Acces-list dvije udaljene mreze

[ Pregleda: 2524 | Odgovora: 8 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.