Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

ACL - cudan IP range

[es] :: Enterprise Networking :: ACL - cudan IP range

[ Pregleda: 2514 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

sheff

Član broj: 125907
Poruke: 317
92.36.160.*



Profil

icon ACL - cudan IP range19.09.2012. u 09:24 - pre 140 meseci
access-list 100 permit ip 10.1.1.0 0.0.0.0 255.255.0.0 0.0.0.0

Ova lista dozvoljava IP saobracaj sa hosta 10.1.1.0 na mrezu 255.255.0.0/0 - jel ovo ispravno shvaceno?
Ono sto me buni je ova wildcard maska 0.0.0.0 - cemu ona sluzi odnosno sta se zeli postici dozvolom/zabranom na mrezu 255.255.0.0/0? Prvi put vidim ovako nesto i nemam nikakve predstave sta se s ovim zeli?

Pod pitanje: objasnjenje slucaja gdje imamo u odredistu IP adresu sa 32 bitnom maskom - kako se to tumaci? (znam da se maska od 0 bitova tumaci kao host)
 
Odgovor na temu

djricky
IT & Network Engineer
AS200305
Beograd

SuperModerator
Član broj: 1046
Poruke: 4042
*:8c8:0:4:8051:c84c:4337:d8cf

Sajt: https://v6.rs


+225 Profil

icon Re: ACL - cudan IP range19.09.2012. u 09:36 - pre 140 meseci

ova lista dozvoljava saobracaj sa hosta 10.1.1.0/32 na mrezu 255.255.0.0/32 (inverzna wildcard maska), a zasto, ne znam
“Choose a job you like, and you will never have to work a day of your life”
“Looking at small advantages prevents great affairs from being accomplished”

"Great power comes with great electricity bills"
"The fact that there's a highway to Hell but only a stairway to Heaven says a lot about
anticipated traffic volume"
"Fate: protects fools, little children, and ships named NCC-1701"
 
Odgovor na temu

sheff

Član broj: 125907
Poruke: 317
92.36.160.*



Profil

icon Re: ACL - cudan IP range19.09.2012. u 09:41 - pre 140 meseci
Ok ali ono sto me buni je teorija - koje je znacenje mreza:

1. 255.255.0.0/32
2. 255.255.0.0/0
3. 255.255.255.255/0
4. 255.255.255.255/32
5. 0.0.0.0/0
6. 0.0.0.0/32
7. npr. 192.168.34.5/0
8. npr. 192.168.34.5/32
9. 0.0.0.0/24
10. 255.255.255.255/24

[Ovu poruku je menjao sheff dana 19.09.2012. u 11:08 GMT+1]
 
Odgovor na temu

pajaja
Beograd

Administrator
Član broj: 41598
Poruke: 3430
2001:470:1f0b:1af2:81e2:1513..

Jabber: pajaja@elitesecurity.org
ICQ: 253317269


+144 Profil

icon Re: ACL - cudan IP range19.09.2012. u 14:09 - pre 140 meseci
Kao sto ti je djricky rekao, to je wildcard mask iliti inverzni bitovi subnet maske.
Citat:
Pod pitanje: objasnjenje slucaja gdje imamo u odredistu IP adresu sa 32 bitnom maskom - kako se to tumaci? (znam da se maska od 0 bitova tumaci kao host)

Maska ima uvek 32 bita, menjaju se samo njene vrednosti. Ako pricas o obicnoj subnet masci 255.255.255.255 oznacava mrezu koju cini samo jedan host.
Pogledaj ovo i cidr za objasnjenje prefiksa.
xxx
mali mali mali kamičak...nebo plave boje.
In Memoriam: Madzone Zeka(15.09.2005-16.09.2005)
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: ACL - cudan IP range21.09.2012. u 21:46 - pre 140 meseci
Citat:
djricky: ova lista dozvoljava saobracaj sa hosta 10.1.1.0/32 na mrezu 255.255.0.0/32 (inverzna wildcard maska), a zasto, ne znam ;)

Zavisi od konteksta u kome je upotrebljena. U nacelu je tako kao sto si rekao i na prvi pogled nema bas preterano puno smisla, pogotovo ako se takva lista primeni kao npr. paketski filter na interfejsu (access-class in/out). Medjutim, ako se ta lista koristi kao BGP distribute-list:

router bgp 65534
neighbor 10.11.12.13 distribute-list 101 in

Ona ima malcice drugacije znacenje, koje mozes da nadjes ovde.

Rec je o istorijskom krpezu koji je Cisco bio prinudjen da ugradi pre nekih 20-tak godina, kada se pojavila prva verzija IOS-a koja je podrzavala BGP (IOS 10.0). Tada im je NSFNET narucio da ugrade i opciju filtriranja ruta. Posto je stvar bila hitna iskoristili su postojeci "extended acl" mehanizam za to, samo su malcice promenili semantiku. Ako se prosirena ACL upotrebi u kontekstu BGP neighbor distribute-list naredbe (i samo tada !!!) ta ACL se tumaci nesto drugacije:

- Prve dve IP adrese u listi oznacavaju opseg adresa
- Druge dve adrese opseg subnet maski, odnosno duzina prefiksa.

Tvoj konkretan primer nema preterano puno smisla ni u tom kontekstu, doduse ... imao bi smisla kada bi lista bila:
access-list 101 permit 10.1.0.0 0.0.0.0 255.255.0.0 0.0.0.0
sto moze da se koristi za BGP filtriranje u kome se dopusta iskljucivo ruta 10.1.0.0/16 (i nijedna druga).


Nasuprot tome, nesto drugacija lista:
access-list 101 permit 10.1.0.0 0.0.255.255 255.255.0.0 0.0.255.255
dozvoljava sve rute iz opsega 10.1.0.0/16. Ta lista bi dopustila i specificnije rute 10.1.2.0/24, 10.1.3.128/25 itd.

Srecom, za ovaj krpez je jos pre 10-15 godina (u IOS 12.0(3)T) ponudjena dobra alternativa - prefiks liste:

router bgp 65534
neighbor 10.11.12.13 prefix-list allowed-nets in

pa gornje dve access liste mozes da zamenis mnogo preglednijom formom:

! - Permit 10.1.0.0/16 only
ip prefix-list allowed-nets permit 10.1.0.0/16

! - Permit 10.1.0.0/16 incl. more specifics
ip prefix-list allowed-nets permit 10.1.0.0/16 le 32

 
Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.hsd1.ca.comcast.net.

Sajt: https://markom.rs


+16 Profil

icon Re: ACL - cudan IP range01.10.2012. u 05:38 - pre 139 meseci
Krpež ili ne i dalje je dosta efikasan za filtriranje pošto postoje ezoterične stvari koje prefix-liste ne mogu da urade, a sa ovim metodom ispada vrlo jednostavno.

Zanimljivo je da je ova specijalna funkcija extended access listi pristupačna u samo dva konteksta: filtriranje BGP ruta i filtriranje ruta između L2 i L1 IS-IS nivoa.
 
Odgovor na temu

[es] :: Enterprise Networking :: ACL - cudan IP range

[ Pregleda: 2514 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.