[es] - Wildcard mask

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

^{17.02.2006. u 06:15 - pre 221 meseci}

Hteo bih da konfigurisem ACL za mrezu 192.168.0.0/24 i to tako da se odnosi na racunare od 192.168.0.20 - 192.168.0.254.

Da li seledeca wildcard maska odgovara?

access-list... 192.168.0.20 0.0.0.235

_{[Ovu poruku je menjao Marcony dana 17.02.2006. u 07:16 GMT+1]}

YU2MP

Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
..njuel-bg.customer.sbb.co.yu.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264

+8 Profil

Re: Wildcard mask

^{17.02.2006. u 09:09 - pre 221 meseci}

NE! Maska ti je loše definisana. Prvo što neće odraditi ono što ti hoćeš, drugo što se u praksi ne koriste ovakve maske "sa rupama".

Ako želiš da mečuješ blok adresa čiji broj nije stepen dvojke, razbij taj blok na manje blokove čiji opseg jeste stepen dvojke i onda koristi više unosa u access-listi (za svaki blok) dok ih ne "pohvataš" sve.

Na primer, tvoj blok može da se razbije na

192.168.0.20/30 <--- blok od 4 adrese
192.168.0.24/29 <--- blok od 8 adresa
192.168.0.32/27 <--- blok od 32 adrese
192.168.0.64/26 <--- blok od 64 adresa
192.168.0.128/25 <--- blok od 128 adresa

Inače, potreba za ovim ne postoji kada se mreža dobro isplanira i u skladu sa tim napravi odgovarajući adresni plan ;-)

Zoran

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{18.02.2006. u 20:26 - pre 221 meseci}

Da li ovo da odradim preko subinterface-a?

YU2MP

Odgovor na temu

cume
Menadzer za visoko frekventnu naplatu u
maloprodajnom objektu

Član broj: 26038
Poruke: 315
*.mobtel.co.yu.

+1 Profil

Re: Wildcard mask

^{18.02.2006. u 22:00 - pre 221 meseci}

Nema potrebe, samo napraviš više unosa u jednoj access-listi.
npr.

access-list 10 deny blok_1 wildcard
access-list 10 deny blok_2 wildcard
access-list 10 deny blok_3 wildcard

_{[Ovu poruku je menjao cume dana 18.02.2006. u 23:02 GMT+1]}

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{18.02.2006. u 23:24 - pre 221 meseci}

Dobro, a kako blokove da odradim? Nisam bas najbolje razumeo ovo.

YU2MP

Odgovor na temu

Milan Andjelkovic
Product Manager
Tegus Medical
Beograd

Član broj: 4476
Poruke: 3281
*.beogrid.net.

Sajt: www.linkedin.com/in/milan..

+8 Profil

Re: Wildcard mask

^{19.02.2006. u 10:27 - pre 221 meseci}

Reče ti jogurt za blokove već. Konkretno, u kombinaciji sa primerom koji je dao cume:

access-list 10 deny 192.168.0.20 0.0.0.4
access-list 10 deny 192.168.0.24 0.0.0.8
access-list 10 deny 192.168.0.32 0.0.0.32
access-list 10 deny 192.168.0.64 0.0.0.64
access-list 10 deny 192.168.0.128 0.0.0.128

ex.mangel

Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
..njuel-bg.customer.sbb.co.yu.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264

+8 Profil

Re: Wildcard mask

^{20.02.2006. u 09:07 - pre 221 meseci}

Samo mala ispravka, Milane. Wildcard maske koje treba da se primene su

access-list 10 deny 192.168.0.20 0.0.0.3
access-list 10 deny 192.168.0.24 0.0.0.7
access-list 10 deny 192.168.0.32 0.0.0.31
access-list 10 deny 192.168.0.64 0.0.0.63
access-list 10 deny 192.168.0.128 0.0.0.127

Pozdrav
Zoran

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{20.02.2006. u 10:42 - pre 221 meseci}

Npr.

access-list 10 deny 192.168.0.20 0.0.0.3

Ovo onda znaci da se za adresu 192.168.0.20, kao i 21, 22 i 23 primenjuje access lista, a ne i za ostale adrese?

YU2MP

Odgovor na temu

jogurt
Zoran Milenković
nettverkskonsulent
Norway

Član broj: 13800
Poruke: 472
..njuel-bg.customer.sbb.co.yu.

Jabber: jogurt@elitesecurity.org
ICQ: 309530264

+8 Profil

Re: Wildcard mask

^{20.02.2006. u 11:06 - pre 221 meseci}

Upravo tako!

Odgovor na temu

Milan Andjelkovic
Product Manager
Tegus Medical
Beograd

Član broj: 4476
Poruke: 3281
*.verat.net.

Sajt: www.linkedin.com/in/milan..

+8 Profil

Re: Wildcard mask

^{20.02.2006. u 12:28 - pre 221 meseci}

Citat:

jogurt: Samo mala ispravka, Milane. Wildcard maske koje treba da se primene su

access-list 10 deny 192.168.0.20 0.0.0.3
access-list 10 deny 192.168.0.24 0.0.0.7
access-list 10 deny 192.168.0.32 0.0.0.31
access-list 10 deny 192.168.0.64 0.0.0.63
access-list 10 deny 192.168.0.128 0.0.0.127

Pozdrav
Zoran

Izvinjavam se na unosenju zabune, hvala na ispravci :)

Pozdrav

ex.mangel

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{24.02.2006. u 21:53 - pre 221 meseci}

Nesto mi ovo bas ne uspeva...

U pitanju je Cisco 1720 ruter, kome bih hteo da konfigurisem traffic-shapping.
Nasao sam uputstvo na netu, ali mi nije jasna jedna stvar:

kreira se access-list -a npr. broj 1:

Router(config)# access-list 1 permit 192.168.0.20 0.0.0.3

a kasnije se komandom:

Ruter(config-if)# traffic-shapping group 101 128000

ogranicava saobracaj za access listu broj 1. Zasto onda pise group "101", a ne group "1" (tako pise u uputstvu, i to na vise mesta)?

www.cisco.com/univercd/cc/td/d.../hqos_c/part20/ch10/qsbgts.pdf

Medjutim ovo ne funkcionise.

Ako se koristi:
Ruter(config-if)# traffic-shapping rate 128000

to radi ok, ali ne zelim da ogranicavam kompletnu mrezu.

_{[Ovu poruku je menjao Marcony dana 26.02.2006. u 13:11 GMT+1]}

YU2MP

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{26.02.2006. u 14:01 - pre 221 meseci}

Evo i da odgovorim na zapocetu temu.

S obzirom da se GTS (Generic Traffic Shaping) koristi samo za outbound saobracaj , ACL nije mogla biti kako sam je ja napravio, vec ovako:

Router(config)# access-list 102 permit tcp any 192.168.0.20 0.0.0.3

YU2MP

Odgovor na temu

haralampije
beograd

Član broj: 42405
Poruke: 16
*.ADSL.neobee.net.

Profil

Re: Wildcard mask

^{02.03.2006. u 14:09 - pre 221 meseci}

kasno sam video temu, a bila je zanimljiva...

vidi, bar na osnovu dosad napisanog, nije mi bas najjasnije - na pocetku si onemogucavao kompletan saobracaj adresnoj grupi 192.168.0.20 0.0.0.3, da bi se kasnije ispostavilo da funkcionise ako omogucis TCP stack istoj grupi extended access listom?

mislim, izvinjavam se unapred ako sam pogresno protumacio, ali ako ti je bio cilj da odredjenom segmentu dodelis odredjeni bandwith, a mucilo te to sto nisi mogao da uspesno postavis traffic-shapping na interface - pa sigurno to nisi mogao odraditi ako zabranis SAV saobracaj ka ili od 192.168.0.20 0.0.0.3 zar ne? ( access-list 10 deny 192.168.0.20 0.0.0.3 )

a bez obzira kakvo si to uputstvo skinuo sa sisko sajta, bilo kakva group in-out komanda na interfejsu mora da match-uje klasu access liste, te naravno da ne funkcionise ako postavis standardnu acl (1-99) a pozoves se na extended listu (100-199 i 2000-2699)

ali i na kraju,

Router(config)# access-list 102 permit tcp any 192.168.0.20 0.0.0.3

nakon cega je

Router(config-if)# traffic-shapping group 102 128000 a ne 101 jel tako?

ono sto je jogurt postovao je ok ako kanite koristiti VLSM a verovatno da - ne trci vam valjda rip v1 tu?:)

hey, that's my bike!

Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.bg.wifi.vline.verat.net.

+18 Profil

Re: Wildcard mask

^{02.03.2006. u 15:30 - pre 221 meseci}

To prvo sam pitao cisto da vidim kakva je fora oko wildcard maske, nisam ni mislio da onemogucavam saobracaj kompletnoj navedenoj grupi.

A za ovo drugo, oko zbrkanog natpisa oko ACL brojeva, hvala. Mislio sam, da posto je uputstvo sa njihovog sajta, da je OK.

YU2MP

Odgovor na temu