"čitanje" ACL-a

treba mi mala pomoć naime, iz config fajla rutera sam izvukao podatke koje bi trebalo da "prevedem", odnosno da napišem u obliku "ta-i-ta-linija-radi-to-i-to"... pa evo

Ovde imamo NAT-ovanje

ip nat pool nat-10 10.1.1.8 10.1.1.15 netmask 255.255.255.248
ip nat inside source list 10 pool nat-10
ip nat inside source list 11 interface Ethernet1/0 overload
ip nat inside source static 172.27.1.2 10.1.1.3

Kliknite za proširenje...

ovde je u pitanju ACL... ono kako ja treba da "prevedem" izgleda ovako: u pitanju je tip IP Named ACL, odnosno imenovane IP liste proširenog tipa koja radi-to-i-to, linija ta-i-ta dopušta/odbija to-i-to.... kapirate valjda

ip access-list extended inboundfilters
deny ip any 172.27.1.0 0.0.0.255
permit ip any any
deny ip any any
access-list 10 remark ACL for Dynamic NAT 172.27.1.8/29
access-list 10 permit 172.27.1.8 0.0.0.3
access-list 11 remark ACL for Static NAT 172.27.1.2
access-list 11 permit 172.27.1.50

Kliknite za proširenje...

drugi ACL koji bi trebalo "prevesti" izgleda ovako

ip access-list extended inboundfilters
remark ** Allow 10.1.1.0/24 to e0/0 for ssh/telnet to login, get run config,
remark ** or initiate dynamic ACL to 10.2.2.2
permit tcp 10.1.1.0 0.0.0.255 host 10.1.1.25 eq telnet
remark ** Dynamic ACL for IP to 10.2.2.2
remark ** username = dynamicuser
dynamic dynalist timeout 15 permit ip 10.1.1.0 0.0.0.255 host 10.2.2.2
remark ** Allow ICMP echo-replies ... hopefully from ICMP echo-request that went outbound before
permit icmp 10.1.1.0 0.0.0.255 any echo-reply
remark ** Evaluate TCP traffic from Dynamic ACL tcptraffic (e.g. established)
evaluate tcptraffic
remark ** Deny all rule for visible accounting
deny ip any any
ip access-list extended outboundfilters
remark ** Allow router e0/0 out to any
permit ip host 10.1.1.1 any
remark ** Allow ICMP traffic from 10.2.2.0/24 out to any
permit icmp 10.2.2.0 0.0.0.255 any
remark ** Allow tcp traffic out for dynamic ACL
permit tcp 10.2.2.0 0.0.0.255 any reflect tcptraffic
remark ** Deny all rule for visible accounting
deny ip any any

Kliknite za proširenje...

dakleM, moli se neka dobra duša koja će mi pomoću u ovome ASAP!

ip nat pool nat-10 10.1.1.8 10.1.1.15 netmask 255.255.255.248 - definisanje skupa globalnih adresa (10.1.1.8 je pocetak a 10.1.1.15 je kraj niza)

ip nat inside source list 10 pool nat-10 - racunarima iz access liste 10 dodeliti globalne adrese iz skupa nat-10

ip nat inside source list 11 interface Ethernet1/0 overload - adrese iz access liste 11 PATovati putem adrese izlaznog interfejsa Eth 1/0 . (1 adresa za niz racunara. u ovom slucaju ce samo jedna adresa biti pat-ovana i to 172.27.1.50).

ip nat inside source static 172.27.1.2 10.1.1.3 - unutrasnju adresu 172.27.1.2 vezati za spoljnju adresu 10.1.1.3

ACL

ip access-list extended inboundfilters - imenovana access lista (definisanje i imenovanje)

deny ip any 172.27.1.0 0.0.0.255 - blokiraj pristup svake source adrese ka odredistu 172.27.1.0 /24

permit ip any any - dozvoli sav ostali saobracaj .

deny ip any any - nepotrebna stavka .. vazi explicitni deny ( a i u prethodnoj liniji je dozvoljen sav saobracaj).

access-list 10 remark ACL for Dynamic NAT 172.27.1.8/29 - opis za acl 10

access-list 10 permit 172.27.1.8 0.0.0.3 - dozvoli samo adrese 172.27.1.8 do 172.27.1.11

access-list 11 permit 172.27.1.50 - dozvoli samo tu IP adresu

Druga acl je vec poprilicno objasnjena koliko vidim ... Sve pod remark delom je objasnjenje

ps

Nadam se da si prosao teoriju ...

pss

access-list 10 remark ACL for Dynamic NAT 172.27.1.8/29

access-list 10 permit 172.27.1.8 0.0.0.3

opis i wild card maska se ne poklapaju ... ako je potrebna /29 netmask onda wildcard nije 0.0.0.3 vec treba biti 0.0.0.7

mali bamp, izvinjavam se uako sam uraido nešto loše time

kako "prevesti" PAT-ovanje 172.27.1.50*0 --> e1/0, tj šta je to e1/0?? ok, na slici je to port sa određenom ip adresom, naravno, ali saobraćaj teče od tog porta e1/0 ka ovoj ip adresi, tako da mi nekako nema smisla, tj ne umem šta se tu i na koji način pat-uje :S

drugo, iz onog mog prvog posta, ovaj deo

ip access-list extended outboundfilters
permit ip host 10.1.1.1 any
permit icmp 10.2.2.0 0.0.0.255 any
permit tcp 10.2.2.0 0.0.0.255 any reflect tcptraffic
deny ip any any

Kliknite za proširenje...

četvrti red, kako "prevesti", ovaj deo reflect tcptraffic me, pa ne mogu da kažem buni, jasno je meni šta se tu traži samo ne znam da kažem na srpskom :S

Ti se još maješ sa ovom access listom ?
Aj da je neka druga nego gde se uhvati za Pierky-jevu vezbu?

Kao sto sam i pre par meseci napisao potrebno je dobro poznavati teoriju.

PAT predstavlja jednu od metoda Network Address Translation-a i to :

Statički - NAT kada se jedna unutrašnja adresa iz privatnog opsega IP adresa vezuje za jednu spoljašnju javnu IP adresu. Problem sa ovom metodom je sto je za svaki računar ili uređaj potrebna po jedna javna IP adresa.

Dinamički - NAT kada se iz skupa unutrašnjih (privatnih) IP adresa definisane najčešće putem Access Liste dodeli neka od javnih IP adresa takođe definisane putem Access Liste. Npr. imas 50 računara u LANu i potrebno je obezbediti Internet pristup. Zakupis 5 javnih IP adresa i putem ACLa odrediš dinamičku raspodelu javnih IP adresa kako bi računari mogli da pristupaju resursima na internetu. Problem sa ovom metodom je što će , u ovom slučaju , prvih 5 računara koji pristupe internetu zauzeti ceo raspod javnih IP adresa pa dok oni ne prestanu sa korišćenjem (i ne oslobode javnu IP adresu) ostali računari nemog dobiti pristup.

PAT (Port Address Translation) ili ti NAT Overload je metoda pristupa Internetu koji svi danas koristimo. Jedna javna IP adresa se koristi za prustup veceg broja računara koji koriste IP adresa iz privatnog opsega. Pošto se koristi samo jedna adresa da bi se zahtevani podaci mogli vratiti računaru koji je poslao zahtev za njima ruter otvara (TCP ili UDP u zavisnosti od zahtevanog tipa podatka) port za svaku aplikaciju svakog računara.

Na osnovu tvog pitanja sledi da iz sadržaja ACL-iste računari (odnosno IP adrese navedene) u Access Listi 11 se omogućava pristup Internetu putem samo jedne javne IP adrese koja se nalazi na interfejsu rutera Ethernet 1/0.
Ethernet je u ovom slučaju najverovatnije 10 Mb/s Ethernet interfejs , 1 je broj slota u ruteru dok je 0 broj interfejsa u slotu.

Što se tiče drugog dela tvoj pitanja moraću da pogledam malo nisam se previše majao sa reflexivinim access listama .

majem se zato što sam lenja buba, ništa više od toga
poznajem teoriju, mislim poznajem :S, ono, nisam tek tako uzeo ovo da radim ne znajući šta je i pat i nat liste globalno, ali očigledno da nemam dovoljno znanje o tome.... ništa od ovoga nije meni nejasno utoliko da su mi španska sela, samo imam problem prilikom "prevođenja" (koliko glupa reč za ovo) na srpski jezik
ajde molim te ako si završio majanje (koliko mi se tek ova reč sviđa :mrgreen sa refleksivnom, da mi pomogneš i tu i da završimo sa ovim topikom

Zeznuto je ovo. Koliko sam mogao da vidim ovo se izucava pri studijama za CCIE (poprilicno van mog dometa) ili sam ja propustio nesto prilikom studiranja .
Posto se ja sa ovim nisam susretao konsultovao sam cisco.com sajt i evo sta oni kazu :

permit tcp any any reflect tcptraffic

Define the reflexive access list tcptraffic. This entry permits all outbound TCP traffic and creates a new access list named tcptraffic. Also, when an outbound TCP packet is the first in a new session, a corresponding temporary entry will be automatically created in the reflexive access list tcptraffic.

Tvoja refleksivna lista se razlikuje u source adresi tako da pretpostavljam da ona znaci da se omogucava odlazni TCP saobracaj sa adresa iz opsega 10.2.2.0 /24 ka bilo kojoj adresi a da pri uspostavi konekcije dolazi do kreiranja Access liste tcptraffic koja ce propustiti dolazni TCP saobracaj (odgovor).