[es] - Access-list, da li su dobro konfigurisane ?

mizob

Član broj: 13465
Poruke: 1108
*.etf.bg.ac.yu.

+5 Profil

Access-list, da li su dobro konfigurisane ?

^{25.05.2007. u 10:23 - pre 218 meseci}

Danas imam kolokvijum, a nesto nisam isao na predavanja, a i kada sam se tamo zadesio, nesto nisam mnogo slusao predavanje

, pa poceh malo kasno da ucim, pa sad ne znam da li sam uradio tacno zadatak iz acl, pa ako moze neko da proveri

Evo zadatak:

Dato: LAN 145.92.216.0/27 (fa0/0 145.92.216.1/27)
u tom LAN-u pored običnih računara postoji sledeća farma servera:
145.92.216.2 – DNS server
145.92.216.4 – web server
145.92.216.6 – web mail server

Postaviti liste (in i out):
LAN hostovi mogu da pristupe svim web serverima samo za www.
LAN hostovi mogu da pristupe svim DNS serverima samo za domain.
Svima treba omogućiti pristup farmi servera za www, DNS serveru za domain i mail serveru za smtp i pop3.

Moje resenje:

out:

access-list 122 permit 145.92.216.0 0.0.0.31 any eq 80 // LAN hostovi mogu da pristupe svim web serverima samo za www

access-list 122 permit 145.92.216.0 any eq domain //LAN hostovi mogu da pristupe svim DNS serverima samo za domain

access-list 122 deny any any //ostali saobracaj je zabranjen

in:

access-list 122 permit any 145.92.216.0 0.0.0.6 eq 80 //svi mogu da pristupe farmi servera za www

access-list 122 permit any host 145.92.216.2 eq domain //svi mogu da pristupe DNS-u za domain

access-list 122 permit any host 145.92.216.6 eq 25 //svi mogu da pristupe mail serveru za smtp

access-list 122 permit any host 145.92.216.2 eq 115 //svi mogu da pristupe mail serveru za pop3

access-list 122 deny any any //ostali saobracaj je zabranjen

I jos jedno pitanje, da li kad stavljam access-list 122 ovim oznacam da su obuhvaceni tcp i udp protokoli, a ukoliko navedem access-list permit TCP , ovim oznacam TCP protokol bez UDP-a ? Ili ako nije tako kada da stavljam jos dodatno TCP , a kada broj protokola za acl?

_{[Ovu poruku je menjao Milos Zobenica dana 25.05.2007. u 12:02 GMT+1]}

_{[Ovu poruku je menjao Milos Zobenica dana 25.05.2007. u 12:02 GMT+1]}

Odgovor na temu

machiavelli
Beograd

Član broj: 7080
Poruke: 216
212.124.181.*

+164 Profil

Re: Access-list, da li su dobro konfigurisane ?

^{25.05.2007. u 14:09 - pre 218 meseci}

Koliko vidim, imas sintaksnih greski, zato sto moras da navedes protokol za koji radis permit ili deny. Na primer, ovo su ispravne linije ACL-a:

access-list 121 permit tcp 145.92.216.0 0.0.0.31 any eq 80
access-list 121 permit ip host 145.92.216.1 any

...i tako dalje.

Pozdrav.
Igor

Odgovor na temu

mizob

Član broj: 13465
Poruke: 1108
*.etf.bg.ac.yu.

+5 Profil

Re: Access-list, da li su dobro konfigurisane ?

^{25.05.2007. u 14:34 - pre 218 meseci}

Da, to sam kasnije skontao da ide.
Anyway zavrsih sada kolokvijum, mislim da sam dobro tamo podesio access listu.

Odgovor na temu

Ijahman
Beograd južno

Član broj: 8864
Poruke: 30
*.adsl-1.sezampro.yu.

+1 Profil

Re: Access-list, da li su dobro konfigurisane ?

^{28.05.2007. u 08:22 - pre 218 meseci}

Da bi proverio da li su ti dobro konfigurisane access liste (u stvari koji saobracaj brane) koristis u poslednjoj liniji

Code:
deny ip any any log

gde snifujes sav ostali blokiran saobracaj :)

Pozdrav!

PS Normalno, treba da ti bude ukljucen terminal monitoring, ako pristupas remote....

Odgovor na temu