ACL różnica IN / OUT

VIRL, Dynamips, Boson NetSim, Packet Tracert, Olive, UNL, EVE-NG
Wiadomość
Autor
turbokrecik
member
member
Posty: 39
Rejestracja: 31 lip 2017, 15:35

ACL różnica IN / OUT

#1

#1 Post autor: turbokrecik »

Typowy problem. Nie mogę znaleźć dość wyczerpującej odpowiedzi.
Konfiguracja:

Core_2(config-line)#access-list 100 permit ip host 192.168.70.70 any /Zezwól hostowi źródłowemu o adresie 192.168.70.70 na ruch ip do każdego docelowego
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 in

Pytanie czym różni się powyższa konfiguracja od tej:

Core_2(config-line)#access-list 100 permit ip any host 192.168.70.70
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 out

Rozumiem to tak że jeśli ktoś puszcza ping lub inicjuje jakikolwiek ruch to do serwera który ma adres np. 70.72 wszystko dociera, ale nie może on odpowiedzieć bo zostaje zablokowany przez liste. Natomiast konfiguracja poniżej w ogóle nie zezwoli na jakikolwiek ruch do serwera, bo aclka zadziała przed dotarciem jakiegokolwiek pakietu do niego. Czy to znaczy że konfiguracja druga jest bezpieczniejsza? Jakie ustawienie będzie najbardziej optymalne?

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: ACL różnica IN / OUT

#2

#2 Post autor: PatrykW »

IN to the HOST, OUT from the ROUTER

OUT from the HOST, IN to the ROUTER

Miej na uwadze to, ze dla ruchu TCP, z racji 3 way, musisz zezwolic na ruch powrotny (established).

W Przypadku UDP. zezwolic w ruch w obie strony,

udp x x eq 53

udp x eq 53 x
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

ODPOWIEDZ