R: ACL temporali su PIX

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: R: ACL temporali su PIX
Mittente: Igor Falcomata'
Data: 19 Sep 2003 19:26:47 -0000

Pareva anche a me, arriva appunto conferma di marco.
bye
Koba (moderatore)

ps: notare messaggio di Luigi Molinaro in fondo, che NON e' passato su ml@,
e che e' quello a cui si riferisce la risposta di marco qui forwardata.

----- Forwarded message from marco misitano <marco<at>misitano.com> -----
Date: Fri, 19 Sep 2003 14:26:50 +0200
To: koba<at>sikurezza.org
From: marco misitano <marco<at>misitano.com>
Subject: Re: [Fwd: MODERATE for ml<at>sikurezza.org]

At 12:29 19-09-03 +0200, you wrote:

credo che si riferisca alle TB-ACL di IOS, segnatamente a questa feature:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/timerang.htm#35787

sul PIX (ne ho acceso uno per controllare, dato che alle volte mi trovo dei 
granchi in tasca) non viene accettato lo statement time-range in coda ad 
access-list, e nemmeno a se stante, come su IOS, dove time-based viene 
usato per definire il range temporale per dargli un nome. nella ACL a cui 
fa riferimento Luigi, che e' la seguente:
access-list 150 permit tcp any any eq www time-range web

il time-range si riferirebbe ad un delta di tempo definito precedentemente 
sul pix con, appunto il comando (non esistente, non sul PIX) "time-range".

la reference delle ACL sul PIX v6.3 si trova a:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/cmdref/ab.htm#1067755
e non c'e' traccia di time ranges.

segnatamente, PIX non monta IOS, ma PIX/OS che non é della stessa 
derivazione.

Se Luigi vuole, possiamo discuterne,  valuta tu se e' il caso di farlo in 
ml o in privato.

Ciao
~misi

>--- Enclosed, please find the posted message.
>From: Luigi Molinaro <luivm<at>supereva.it>
>To: ml<at>sikurezza.org
>Subject: R: ACL temporali su PIX
>Date: Fri, 19 Sep 2003 09:55:03 +0200
>X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2911.0)
>
>Dire che un prodotto come la Cisco non supporti ACL temporanee mi sembra un
>esagerazione :-)
>Con quello che si fanno pagare !!!!
>Il Pix supporta le access list temporanee e la sintassi è questa:
>Mettiamo caso che vogliamo bloccare l'accesso ad internet per tutti gli
>utenti a un determinato orario:
>
>----------------------------------------------------------------------------
>----------------------------
>sulla E0 in
>access-list 150 remark filtro netbios broadcast
>access-list 150 deny   udp any range 135 netbios-ss any
>access-list 150 permit tcp any any eq www time-range web
>access-list 150 permit ip 192.168.0.0 0.0.0.255 any
>access-list 150 deny ip any any
>----------------------------------------------------------------------------
>-----------------------------
>
>La cosa importante quando si creano queste tipi di ACL è la sincronizzazione
>con un Time Server attraverso il protocollo NTP (supportato da Cisco).
>
>Ciao
>
>Luigi Molinaro
>
>
>
>-----Messaggio originale-----
[..]

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: as400 + WIN2000, Fabio Panigatti
- successivo: R: un suggerimento o meglio un consiglio, Giorgio Parpinelli
- indice

Argomento:
- precedente: chi controlla i controllori ?, Andrea Iacopini
- successivo: upnp, porta 500, Mario Ricci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005