configurar acl

Rowan · #1 (**permalink**) 19/03/2007, 11:19

Hola!
Estoy intentando capar el trafico de salida de un puerto de un switch 3com 5500.
Para ello utilizo ACL y packet-filtering pero no consigo que funcione. Creo que hay algun concepto que no entiendo bien. No tengo problema con esto
añado en la acl la siguiente regla
rule 2 deny ip destination xxx.xxx.xxx.xxx 0
y en la interface que quiero capar
packet-filter inbound ip-group 3000 rule 2
//
Esto me funciona el problema es que asi capo la entrada a esa interface y lo que yo quiero es capar la salida, utilizando outbound en lugar de inbound no funciona y hay mi gran dilema.
Si alguien tiene una idea...
Gracias.
Rowan

dogduck · #2 (**permalink**) 19/03/2007, 13:18

http://www.huawei-3com.com/portal/Te...370_1285_0.htm

...
ejemplo

Cita:

acl number 3000
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 1 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.100 0.0.0.255
rule 2 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.100 0.0.0.255

acl number 3001
rule 0 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 1 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 2 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

Vlan 10
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2

Vlan 20
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2

Vlan 30

Vlan 40

salu2

Rowan · #3 (**permalink**) 20/03/2007, 01:55

Gracias,

aunque suelo preguntar al señor google antes de en un foro.jeje
ya habia encontrado ese ejemplo, aparte de las instrucciones del switch que tengo entre manos y no es solucion para mi problema. Lo que necesito es, creo, una aclaracion de conceptos. como:

destination
source
inbound
outbound

ya que no hacen lo que yo pensaba, o los utilizo mal.

De todas formas, se agradece el detalle.

Rowan.

dogduck · #4 (**permalink**) 20/03/2007, 12:07

source = fuente u origen
destination = destino
inbound = entrante
outbound = saliente
...
acl number 3000
define una acl con el identificador 3000

rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
se define la regla 0, la regla 0 deniega el tráfico de paquetes desde la red de origen 192.168.10.0/24 o con mascara 255.255.255.0 (0.0.0.255 es una wildmask) a la red de destino 192.168.20.0/24

Vlan 10

En la Vlan 10 define las reglas a aplicar

packet-filter inbound ip-group 3000 rule 0

es decir que para cualquier interface de el switch perteneciente a la vlan10, todo el tráfico entrante (desde el punto de vista de el interface/switch) se le aplica la regla 0 de el la acl 3000

¿Podrias explicar que y que tipo de tráfico y de donde a donde deseas capar?

salu2

Rowan · #5 (**permalink**) 21/03/2007, 01:35

Hola
Bien, segun lo que dices los conceptos son lo que yo pensaba y lo que no entiendo es porque no funciona. El tipo de trafico es una señal multicast una imagen de videocamara (234.252.21.0) esto seria el source es lo que quiero prohibir que salga de un puerto en concreto, por ejemplo el 1. Los pasos que he definido y no funcionan son:
acl 3000
rule 2 deny ip source 234.252.21.0 ////////definir la acl

interface ethernet1/0/1 packet-filter outbound ip-group 3000 rule 0 //capar el puerto

Tengo la sospecha de que es por que es multicast, y tendre que configurar algo en los grupos. Si consigo algo informo.

Gracias.

Rowan · #6 (**permalink**) 21/03/2007, 01:37

rule 2 deny ip source 234.252.21.0 0
se me ha olvidado la mascara arriba esto es lo que pongo, con el ultimo 0

dogduck · #7 (**permalink**) 21/03/2007, 12:42

¿Por que no pruebas a usar la wildmask 0.0.0.255 y defines el destino como la superred (es decir todos los destinos)?

rule 2 deny ip source 234.252.21.0 0.0.0.255 destination 0.0.0.0 0.0.0.0

salu2

Rowan · #8 (**permalink**) 22/03/2007, 04:13

Hola

No me sirve lo que me dices, porque en el mismo grupo multicast tengo mas de una camara y entonces cortaria la señal de todas y no quiero eso. Y con el destino parecido tengo muchas teles y solo quiero capar la que recibe la señal del pueto 1(por ejemplo), como tu dices caparia todas las que reciben señal dentro de ese dominio.

De todas formas he conseguido algo, en vez de utilizar el packet-filter, he utilizado reglas igmp, para gestionar los grupos multicast, lo malo es que asi tengo que hacer un acl por regla pero bueno funciona y es lo que queria.
Aunque me sigue picando la curiosidad...jejej. Pero cuando el tiempo aprieta...

Muchas Gracias,

Rowan.

misterioxo · #9 (**permalink**) 31/07/2007, 17:20

hola a mi me pasa algo parecido, he creado mis acl pero el problema que tengo es a la hora de asiganarlas, veo que ustedes las asignan en las VLAN ,pero cuando entro a la Vlan no tengo el comando packet-filter, intente entrando a la interface Vlan pero tampoco, solo me aparece cuando entro a la interface de un puerto, lo q tampoco me aparece x ningun lado es el parametro otubound.

Tengo 2 swiths 5500 GEI y SI me gustaria que me ayuden diciendome q version tienen de software o cual seria mi problema, gracias de antemano

yogui801 · #10 (**permalink**) 04/01/2008, 10:52

Buen día,

desde dias anteriores estoy tratando de configurar una cal para lo siguiente:

1. deseo que una vlan solo vea la vlan por default
2. que las demas vlans no vean esta vlan

No se si a alguno le ha pasado esto?...agradezco su ayuda.

yogui801 · #11 (**permalink**) 04/01/2008, 10:54

Cita:

Iniciado por yogui801

Buen día,

desde dias anteriores estoy tratando de configurar una acl para lo siguiente:

1. deseo que una vlan solo vea la vlan por default
2. que las demas vlans no vean esta vlan

No se si a alguno le ha pasado esto?...agradezco su ayuda.

Tengo switch 3com 5500

caostr · #12 (**permalink**) 08/04/2008, 13:49

Cita:

Iniciado por yogui801

Tengo switch 3com 5500

Hola yo tengo el mismo problema
no puedo aplicar las ACls segun como dice el manual
agradeceria el que lo pudo resolver si me puede hechar una mano
gracias