タグ付けされた質問 「acl」

アクセス制御リスト(ACL)またはアクセス制御エントリ(ACE)に関するディスカッション




5
ソーシャルネットワークサイトのIPアドレスの検索
FacebookのIPアドレスのような会社を見つけるにはどうすればよいですか。私は職場でfacebookをブロックしようとしていますが、HTTPsとURLのブロックに問題があります。FacebookのIPをブロックするたびに、ポップアップが表示されます。 Facebook、Myspace、Snapchatなどが使用するすべてのIPを簡単に見つける方法はありますか?
14 ipv4  security  firewall  acl 

3
Cisco:VLANがCiscoルーターで相互に通信するのを防ぎます(代替ACL)
セットアップ:複数のVLANが構成されたCiscoルーター。 2つのVLANが互いに通信するのをどのように防ぐことができますか?通常、これは次のようなACLで行います。 access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 int vlan 1 ip address 1.1.1.1 255.255.255.0 access-group 102 in int vlan 2 ip address 2.2.2.2 255.255.255.0 access-group 102 in ただし、これはルーター上に構成された多くのVLANを処理する場合には便利ではありません。これを微調整したり、スケーラビリティを改善するための代替手段を使用したりする提案はありますか?

1
Cisco ASA ACLでオブジェクトの後の括弧「()」は何を意味しますか?
お客様の設定でよく知らないことがありました。「show access-list」のすべてのルールの最後にある「(hitcnt = 324165)」は、ルールの使用法、ヒット数を指していることを知っています。しかし、show access-listのこの出力では、ルールのオブジェクトエンティティと非オブジェクトエンティティに続く数字も表示されています。 例 access-list access-global-in line 5 extended deny ip object-group HA_Networks_All any log informational interval 300 0xf688d263 access-list access-global-in line 5 extended deny ip object-group HA_Networks_All(298) any(65537) log informational interval 300 (hitcnt=324165) 0xa2669c62 access-list access-global-in line 7 extended deny ip object-group HA-Wireless_10.1.80.0-24 any log informational interval …
9 cisco  cisco-asa  acl 

2
Cisco IOSでIPv6ワイルドカードの一致は可能ですか?
FacebookはIPv6アドレススキームに関して非常に賢いですが、ACLについて考えさせられました。それに一致するCisco IOS IPv6 ACLを作成することは可能ですか?IPv4では、 'x'を 'do n't care'でヒットするために、10.xxx.10.xxxなどの中間オクテットを一致させることができます。これはIPv6では可能ではないと思います。少なくともIOS 15.1では不可能です。 私の例の場合、Facebookは賢いので、できればFACE:B00Cで簡単に一致させることができます。あるブロックが割り当てられているかどうかを調べなくても、その範囲で照合できるため、これは単純化されます。 2A03:2880:F000:[0000-FFFF]:FACE:B00C :: / 96 2A03:2880:F000 :: / 48で一致させるのが明白で通常の方法ですが、残念ながら、FBの範囲が広いかどうかは一目でわかりません(おそらく)。したがって、この特定のケースでは、FACE:B00Cパーツのみを照合できれば、FACE:B00Dに移動しないと想定して、使用しているすべてのものを照合できます。 IOSとIPv6 ACLではワイルドカードマスクを入力できないので、これはできないと思いますが、興味深い回避策があるかどうか知りたいです。大規模なプロバイダーの/ 32全体をブロックしたくないが、ある時点でDDoSまたはアグレッシブトラフィックのためだけにサブブロックをフィルター処理する必要がある場合があるため、これを知っておくと便利だと思います。 さらに、これにより、ポリシーベースのトラフィックのリダイレクトまたは優先順位付けが可能になります。アドバタイズが別のブロックにあることに気付いた場合は、QoSを変えることができます。たとえば、低帯域幅の混雑した衛星リンクに適した機能です。 編集:少し明確にするために。/ 32のような大きなブロック内の特定の範囲をブロックまたは許可する必要がある場合があります。これらはわずかに連続していて、数百のエントリではなく、ワイルドカードがそれらの大部分と一致する場合があります。これは、すべての10.x.10.0ブロックをルーティングする方法でトラフィックエンジニアリングにも使用できます。xが奇数の場合、あるルートと別のルートに行きます。 別の例は、ハッカーのグループ名を綴るパターンでIPv6ソースIPがスプーフィングされているDDoSです。これは少なくとも1回は発生します。それをフィルタリングできると便利です。 コンパクトなACLはクリーンですが、常に管理しやすいとは限りません。これらは良いアイデアか悪いアイデアか実践かもしれませんが、ここで議論するのではなく、自分が持っているツールと自分が作成しなければならない可能性のあるツールを理解しようとしているだけです。

1
Cisco ACL構成での異常なワイルドカードマスク
以前の管理者から管理しているネットワーク上のいくつかの構成を継承しました。 一部のACLには、これまでに見たことのない非常に奇妙なワイルドカードマスクがあります。次に例を示します。 10 permit ip any 10.160.1.0 0.31.0.255 この種類のACLが有効であると記載されているオンラインの場所はどこにもありません。誰かがこれを確認/拒否できますか? 前もって感謝します
8 cisco  acl 

4
アクセスリストとVLAN、およびトラフィックフローの理解
私は私の心を包み込むのに非常に苦労しているという質問があります。 L3スイッチのVLANインターフェイス(VLAN 32)にアクセスリストを適用すると、VLAN 32サブネットにあるクライアントは、ルーティングされる途中でVLAN 32に入っていると見なされますか、それともトラフィックが)VLAN 32インターフェイス?別のVLANからのトラフィックはどうですか? VLAN 32インターフェイスに対して「in」または「out」のトラフィックにアクセスリストを適用するかどうかを決定する目的で、これを整理しようとしています。

2
HP Procurve 5406zl-ACLの問題
VLANインターフェイスのACLに問題があります。ここでHPのドキュメントをフォローしました:http : //h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf 次のことを実行したい: VLAN 101はVLAN 50とのみ通信できる必要があります-他のVLAN、インターネットアクセスはありません。 最初は、次のアクセスリストを試しました。 ip access-list extended "SecureContent" 10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255 20 remark "SecurityVLAN" 次のコマンドを使用して、このACLを「in」のVLAN 101に適用しました。 vlan 101 ip access-group "SecureContent" in この構成では、そのVLANでの通信はゼロになります。ポートA1の192.168.101.2のIPは、スイッチVLAN IPである192.168.101.1にpingできません。アクセスリストを次のように変更した場合: 10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255 20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255 ...これにより、VLAN上のクライアントはデフォルトゲートウェイにpingできますが、50.1ゲートウェイにはpingできません。それは私には何の意味もありません-VLAN 101 IPインターフェースは論理的にそのVLAN 101の「内部」であると考えるべきです、正しいですか …

3
ルータを停止せずにCisco IOS ACLを編集する
Ciscoルータ1941シリーズを使用していますが、ルータのアクセスリストにいくつか変更を加えたいです。リストの1つを削除し、最後に拒否するものを記載しながら、追加したものを含めてすべてを再度追加する必要があることを知りました。削除するとうまくいきましたが、追加すると最初のステートメントの後でハングします。また、コードを一度に貼り付けようとすると、ハングアップします。 ファイルをtftpにコピーして編集し、元に戻しました。証明書の署名側でエラーが発生し、いくつかの不満が出ました。ACLで問題を解決するにはどうすればよいですか? [編集] 現在、これは私が持っているものです、 interface GigabitEthernet0/0 description ### WAN INTERFACE ### ip address xxx.xxx.xxx.xxx 255.xxx.xxx.xxx ip flow ingress ip nat outside ip virtual-reassembly duplex full speed 100 no cdp enable ! interface GigabitEthernet0/1 description ### LAN INTERFACE ### no ip address ip flow ingress ip virtual-reassembly duplex auto speed auto …

2
IP経由のOOBアクセスを構成する方法
リモートDCの単一のCisco IOSデバイスで、OOB接続がラックに配信されています(Cat5eの長さは別のオンサイトプロバイダーラックから自分のラックにあり、建物から出入りするさまざまなルートがあります)。インターネットへのL3接続、/ 29が配信されます。 TelnetまたはSSHを介したVTYアクセスは、通常、アクセスリストによってオンネットデバイスに制限され、IPはネットワーク/ ASに対してローカルです。このリモートルータは、コアネットワークに戻る長距離イーサネット回線を備えたPoPにあります。OOB接続は、緊急時にオフネットデバイス(リンク切れ、IGPの停止など)によって使用され、接続は世界中のIPまたは自律システムから送信される可能性があります。 デバイスがOOB接続プロバイダーからのパブリックIPで構成されたOOBインターフェイスを使用して以下のように構成されていると理論付けた場合、 Interface Fa0/2 Descriptioc OOB Connection ip address 5.5.5.1 255.255.255.248 ! line vty 0 4 access-class 10 ! access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS access-list 10 permit 10.0.0.0 0.0.0.255 私の質問は本当に重要な2つです。 デバイスでL3メルトダウンが発生し、IGPが崩壊または類似しているためにトラフィックをPoPからルーティングできないシナリオを処理するにはどうすればよいですか。ルーティングテーブルが空になり、ローカルに接続されたルートのみが含まれるようになりました。休暇中にホテルのWi-fiからOOB IPに接続した場合、IGPが崩壊してデバイスがピアを失った場合、トラフィックはリモートIPに戻るルートを持ちません。 OOBインターフェイスFa0 / 2をVRFに配置し、割り当てられた/ 29内のOOBプロバイダーゲートウェイアドレスを介して静的0/0ルートを追加できます。vtyステートメントを次のように変更できます。 access-class 10 in vrf-also VRFインターフェイスからの管理アクセスを許可しますが、これは私のACLと競合します。ACLに0/0を追加して、ACLを持つポイントを削除する必要があります。ACLをそのまま維持できますが、OOBインターフェイスに接続するときに、どのIPも接続できるようにできますか? おそらく、ルートマップを使用して、OOBインターフェイスから入ってくるトラフィックをそのゲートウェイ経由でルーティングする方法を教えてください。または、VRFを使用せず、メトリック254のデフォルトテーブルに0.0.0.0/0ルートを追加し、OOBインターフェイスにそのインターフェイスのIPからのTCP 22からのトラフィックのみを許可するアウトバウンドACLを追加します(したがって、SSH管理トラフィック)。そうすれば、管理トラフィックのみが許可されますか?ここにアイデアがあるので迷っています。
7 cisco  router  acl  oob  vrf 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.