Kiedy stosuje sie ACL'ki w kierunku in/out ???

Wiadomość

zuku · #16

no i mi tez tak sie wydaje, lecz takich dziwnych przykladow mam wiecej np:
10.11.120.221 0.0.0.120
172.16.1.129 0.0.0.126
a przerabiam cwiczenia ciscowe acl'ek (przedruk polski), ale moze o czyms jeszcze nie wiem i jestem w bledzie?

Mirunio · #17

Ok. Może i takie maski blankietowe istnieją, ale jakie to ma odniesienie do ACL? Może jakiś konkretny przykład, bo też nie rozumiem takiego zastosowania. Trochę mi to traci sens. Czyżby to wszystko spowodowane tym, jak dwie acl zastąpić jedną ze sporą dozą kombinowania?

enceladus · #18

Chyba zacytuję ponownie:

A wildcard mask of 0.0.255.0 specifies that the first 16 bits, and the last 8 bits must match, but that the third octet can be any value. If the IP address in a rule is 10.28.15.0, and the mask is 0.0.255.0, the IP address 10.28.88.0 would match the IP address in the rule, and the IP address 10.28.15.55 would not match.

Do czego to może służyć ... hmmm przykład - robiąc WAN (10.0.0.0/16) wszystkie bramy domyślne w lokalizacjach adresujemy 10.0.x.254 - można to wyłapać na wildcardzie - 10.0.0.254 0.0.255.0

zuku · #19

chodzi mi o zwykly zakres hostow jaki te maski wyznaczaja

przemek · #20

Aż musiałem w googlach sprawdzić co to "maska blankietowa":)

Linki, które wkleił Enceladus wyczerpują temat - nie da się zrobić "złego" wildcarda, może najwyżej nie działać zgodnie z oczekiwaniami.

A jakie ma odniesienie do ACL? No daje pewną elastyczność w definiowaniu, np. jak złapać tylko adresy IP z parzystym 4 oktetem z sieci 10.0.0.0/24?
access-l xx permit ip 10.0.0.0 0.0.0.254

Mirunio · #21

przemek pisze:Aż musiałem w googlach sprawdzić co to "maska blankietowa":)

Tak to wildcarda opisuje polskie tłumaczenie curriculum

Dzięki za wyjaśnienie. Chociaż mnie uczono wersji z ciągiem jedynek

, to jednak po zastanowieniu ma to sens, raczej teoretyczny niż praktyczny, ale ma

przemek · #22

Nie tylko teoretyczny, możesz chcieć złapać adresy 10.10.10.20-21. Żadną maską tego nie opiszesz, a wildcardem jak najbardziej. Oczywiście można wpisać dwie regułki na host, ale po co. A przy większych zakresach zysk rośnie, mniej klepania.. choć w tym łatwiej się pomylić

#23

przemek pisze:Nie tylko teoretyczny, możesz chcieć złapać adresy 10.10.10.20-21. Żadną maską tego nie opiszesz, a wildcardem jak najbardziej.

Oj chyba nie do konca tak - siec 10.10.10.20 maska 31 bitow (255.255.255.254) to wlasnie hosty .20 i .21

Maska i wildcart to wlasciwie to samo, z tym ze zapis jest inny. Zalezy co sie konfiguruje i wtedy stosuje sie zgodna z command reference forme zapisu

Ot cala filozofia ...

razor · #24

Mam pytanie, czy ktoś testował konfigurowanie ACL na Dynamipsie. Nie wiem czym z poziomu routera mogłbym testować konfiguracje, szczególnie czy blokuje mi nadawanie z odpowiedniego portu lub nie. Probowałem traceroute z recznym określeniem nr portu ale cos nie wychodzi. Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?

domin · #25

razor pisze:Mam pytanie, czy ktoś testował konfigurowanie ACL na Dynamipsie.

Ja jeszcze nie.

razor pisze:Nie wiem czym z poziomu routera mogłbym testować konfiguracje, szczególnie czy blokuje mi nadawanie z odpowiedniego portu lub nie.

Wydaje mi się, że nie ale coś kiedyś gdzieś czytałem, że można zakombinować coś jak się postawi loopbacki. Szczegółów nie pamiętam.

razor pisze:Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?

Nie ma takiej komendy - musisz sam przeanalizować warunki access-listy i pomyśleć.

enceladus · #26

domin pisze:
razor pisze:Po drugie czy jest jakas komenda która pokaże który warunek danego ACL został akurat spełniony ze dany pakiet został zablokowany?
Nie ma takiej komendy - musisz sam przeanalizować warunki access-listy i pomyśleć.

Nie oszukuj kolegi ...

access-lista x permit host x.x.x.x log
Spowoduje że do loga wskoczy info o pakiecie który został spełniony, do tego gdy zrobisz show access-list widzisz ile razy dana reguła listy została spełniona.
Dodatkowo możesz jeszcze uruchomić debug pakietów przepływających przez router.

domin · #27

enceladus pisze: Nie oszukuj kolegi ...
access-lista x permit host x.x.x.x log
Spowoduje że do loga wskoczy info o pakiecie który został spełniony, do tego gdy zrobisz show access-list widzisz ile razy dana reguła listy została spełniona.
Dodatkowo możesz jeszcze uruchomić debug pakietów przepływających przez router.

osz fakt, sam zapomniałem sorki

a gdzie potem ten log można odczytać?

enceladus · #28

Np. w buforze, w syslogu, na konsoli ... show logging

razor · #29

A wracając jeszcze do tego testowania ACL to ja znalazłem program TrafGen http://www-lor.int-evry.fr/~vincent/jav ... fGenEn.htm Dość fajny interfejs graficzny i podstawowe funkcje, akurat. Na windowsie dodałem karte Loopback i pakiety UDP z dowolnego portu ładnie są wysylane z jej adresu. Troche sie zaczyna mieszać gdy jednocześnie włączony jest internet ale można to przeboleć. Dodatkowo obserwacje statystyk o jakich napisał enceladus dają pełen wgląd w ACL. Połączenia TCP z określonego portu można symulować telnetem na określony adres routera, tu jest co nieco wiecej opisane:http://www.oreilly.com/catalog/cisrtlis ... /ch05.html . Zastanawiam sie jeszcze na ile wiarygodny może być dynamips przy nauce np. do QoS bo np. dziwna sprawa gdy mam połączenie PPP to pingowanie na adres lokalny routera trwa dłużej niż do routera po drugiej stronie, co chyba nie jest normalne?