(Classe 5a) - Sistemi e Reti

Anche se non strettamente necessario, onoriamo la nostra precedente idea di fornire un semplice esempio di filtraggio del traffico tra le subnet degli studenti e dei prof, con una piccola ACL-Access Control List, da porre sul Router DG, tra le due subif.

Possiamo ipotizzare che i prof possano accedere a tutte le risorse della rete, mentre gli studenti devono vedere precluso il loro accesso al Server1 dei prof. Per ottenere un filtro così puntuale dobbiamo usare un’ACL estesa, che permette di specificare sia i mittenti, sia i destinatari del traffico, mentre le ACL standard agiscono solo in base al mittente. Le ACL estese numeriche hanno range 100-199 (potremmo usare un’ACL con nome invece che numerica, e la sintassi sarebbe solo un po’ diversa).

L’ACL è costituita da una serie di statements (o ACE-Access Contro Entry), eseguiti nell’ordine in cui sono scritti, che controllano il traffico e, se esso “fa match” con la loro specifica condizione, ne fanno il “permit” (passa) o il “deny” (non passa). Gli statements dopo quello che “scatta” sono ignorati. Alla fine di ogni ACL c’è uno statement implicito che scarta tutto quello che non ha fatto match con gli statement espliciti precedenti.

L’ACL va poi “piazzata” su un’interfaccia fisica o logica, per controllare il traffico “in” (entrante) o “out” (uscente).

Scriviamo qunque l’ACL che impedisce agli studenti di accedere al Server1, piazziamola sulla giusta interfaccia nella giusta direzione, e spieghiamo qualche dettaglio:

L’ACL impedisce al traffico IP proveniente dalla rete 10.0.11.0/24 (si deve usare la Wildcard Mask invece della Subnet Mask, che ne è l’inverso o “complemento a 1”) dal raggiungere il Server1, ma il resto del traffico deve passare, per cui la ACE successiva glielo consente, e non fa arrivare nulla allo statement implicito finale (un “deny ip any any”) che invece lo scarterebbe.

L’ACL è poi piazzata in ingresso sulla subif della subnet degli studenti. In tal modo il traffico verso il Server viene bloccato (si veda il successivo ping), mentre quello verso altre destinazioni (fidarsi!) continua a transitare liberamente. Si noti che il messaggio “Destination host unreachable” è emesso dalla subif 10.0.11.254 su cui l’ACL è piazzata: