Kiedy stosuje sie ACL'ki w kierunku in/out ???
Chyba zacytuję ponownie:
Do czego to może służyć ... hmmm przykład - robiąc WAN (10.0.0.0/16) wszystkie bramy domyślne w lokalizacjach adresujemy 10.0.x.254 - można to wyłapać na wildcardzie - 10.0.0.254 0.0.255.0A wildcard mask of 0.0.255.0 specifies that the first 16 bits, and the last 8 bits must match, but that the third octet can be any value. If the IP address in a rule is 10.28.15.0, and the mask is 0.0.255.0, the IP address 10.28.88.0 would match the IP address in the rule, and the IP address 10.28.15.55 would not match.
<: Enceladus :>
Aż musiałem w googlach sprawdzić co to "maska blankietowa":)
Linki, które wkleił Enceladus wyczerpują temat - nie da się zrobić "złego" wildcarda, może najwyżej nie działać zgodnie z oczekiwaniami.
A jakie ma odniesienie do ACL? No daje pewną elastyczność w definiowaniu, np. jak złapać tylko adresy IP z parzystym 4 oktetem z sieci 10.0.0.0/24?
access-l xx permit ip 10.0.0.0 0.0.0.254
Linki, które wkleił Enceladus wyczerpują temat - nie da się zrobić "złego" wildcarda, może najwyżej nie działać zgodnie z oczekiwaniami.
A jakie ma odniesienie do ACL? No daje pewną elastyczność w definiowaniu, np. jak złapać tylko adresy IP z parzystym 4 oktetem z sieci 10.0.0.0/24?
access-l xx permit ip 10.0.0.0 0.0.0.254
Oj chyba nie do konca tak - siec 10.10.10.20 maska 31 bitow (255.255.255.254) to wlasnie hosty .20 i .21przemek pisze:Nie tylko teoretyczny, możesz chcieć złapać adresy 10.10.10.20-21. Żadną maską tego nie opiszesz, a wildcardem jak najbardziej.
Maska i wildcart to wlasciwie to samo, z tym ze zapis jest inny. Zalezy co sie konfiguruje i wtedy stosuje sie zgodna z command reference forme zapisu
Ot cala filozofia ...
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Mam pytanie, czy ktoś testował konfigurowanie ACL na Dynamipsie. Nie wiem czym z poziomu routera mogłbym testować konfiguracje, szczególnie czy blokuje mi nadawanie z odpowiedniego portu lub nie. Probowałem traceroute z recznym określeniem nr portu ale cos nie wychodzi. Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?
Ja jeszcze nie.razor pisze:Mam pytanie, czy ktoś testował konfigurowanie ACL na Dynamipsie.
Wydaje mi się, że nie ale coś kiedyś gdzieś czytałem, że można zakombinować coś jak się postawi loopbacki. Szczegółów nie pamiętam.razor pisze:Nie wiem czym z poziomu routera mogłbym testować konfiguracje, szczególnie czy blokuje mi nadawanie z odpowiedniego portu lub nie.
Nie ma takiej komendy - musisz sam przeanalizować warunki access-listy i pomyśleć.razor pisze:Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?
.ılı..ılı.
Nie oszukuj kolegi ...domin pisze:Nie ma takiej komendy - musisz sam przeanalizować warunki access-listy i pomyśleć.razor pisze:Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?
access-lista x permit host x.x.x.x log
Spowoduje że do loga wskoczy info o pakiecie który został spełniony, do tego gdy zrobisz show access-list widzisz ile razy dana reguła listy została spełniona.
Dodatkowo możesz jeszcze uruchomić debug pakietów przepływających przez router.
<: Enceladus :>
enceladus pisze: Nie oszukuj kolegi ...
access-lista x permit host x.x.x.x log
Spowoduje że do loga wskoczy info o pakiecie który został spełniony, do tego gdy zrobisz show access-list widzisz ile razy dana reguła listy została spełniona.
Dodatkowo możesz jeszcze uruchomić debug pakietów przepływających przez router.
osz fakt, sam zapomniałem sorki
a gdzie potem ten log można odczytać?
.ılı..ılı.
A wracając jeszcze do tego testowania ACL to ja znalazłem program TrafGen http://www-lor.int-evry.fr/~vincent/jav ... fGenEn.htm Dość fajny interfejs graficzny i podstawowe funkcje, akurat. Na windowsie dodałem karte Loopback i pakiety UDP z dowolnego portu ładnie są wysylane z jej adresu. Troche sie zaczyna mieszać gdy jednocześnie włączony jest internet ale można to przeboleć. Dodatkowo obserwacje statystyk o jakich napisał enceladus dają pełen wgląd w ACL. Połączenia TCP z określonego portu można symulować telnetem na określony adres routera, tu jest co nieco wiecej opisane:http://www.oreilly.com/catalog/cisrtlis ... /ch05.html . Zastanawiam sie jeszcze na ile wiarygodny może być dynamips przy nauce np. do QoS bo np. dziwna sprawa gdy mam połączenie PPP to pingowanie na adres lokalny routera trwa dłużej niż do routera po drugiej stronie, co chyba nie jest normalne?