Voor school moet ik een opdrachtje doen om een toets te halen maar het lukt me nog niet helemaal.

Een van de dingen die ik moet doen is alle host ip adressen tot en met x.x.x.15 toelaten om toegang te krijgen tot extern ip adres: 217.116.8.13 (een website dus).

Echter hoe doe ik dit? Mn leraar gaf als tip om alle cijfers tot x.x.x.15 eens onder elkaar te zetten in binair. Nu zag ik dat vanaf nummer 16 het in binair 10000 is. Kortom vanaf nummer 16 komt er 1 cijfer bij. Alles onder de 15 bestaat dus in binair uit slechts 4 tekens! Allemaal heel leuk en aardig, maar hoe geef ik nou toegang tot alles tot en met nummer 15 en blokkeer ik alles vanaf 16?

Hier even een regeltje waar ik mee bezig was:

R2(config)# access-list 3 permit tcp 192.168.73.0 0.0.0.254 192.168.73.15 0.0.0.254 host 217.116.8.13 eq http

Weet totaal niet of ik dit goed gedaan heb maar zoals je ziet wil ik toegang geven tot host: 217.116.8.13 met ip adres 192.168.73.0 tot en met 192.168.73.15 op subnet 0.0.0.254 (daar had mn leraar het over. Als iemand me nog kan uitleggen of dit zo klopt of dat ik 255.255.x.x moet doen graag!) maar volgens mij klopt er zo niets van haha.

HELP!! :P Dinsdag is de toets en moet ik dit weten! ;)

--

Nog een kleine vraag, kan iemand mij verifiëren dat ik dit correct heb gedaan?:

Ik moest voor ip x.x.x.10 het pingen en tracen (ICMP) blokkeren naar websites op het internet.

Dit is wat ik heb gedaan:

R2(config)# access-list 3 deny tcp host 192.168.73.10 any eq icmp

Strikvraag zeker :)
in een firewall kun je dan iets zoals dit doen:
"ipfw add 10 allow ip from x.x.x.0/28 to me"
"ipfw add 20 deny ip from any to me"

Echter met een /28 is het x.x.x.15 een broadcast adres en het .0 het netwerkadres. x.x.x.15 is dus geen hostadres. Indien je 15 als hostadres erbij wilt, zul je een /27 moeten maken en de adressen van 16 t/m 30 blokkeren. Hierbij wordt .31 dan een broadcast adres. Maar de huidige scholen kennende denk ik dat je leraar de eerste verdie bedoeld. :)

Nee je begrijpt me denk ik verkeerd ;)

Ik heb in mn netwerk laten we zeggen 100 computers. Al deze computers hebben als ip adres:
192.168.73.1
192.168.73.2
192.168.73.3
192.168.73.4
t/m
192.168.73.100

Nu wil ik dat ik met computers 192.168.73.1 t/m 192.168.73.15 toegang kan krijgen tot de website (dus ip: ) 217.116.8.13. De rest van al die 100 computers mag dit NIET.

Een ip voor een computer eindigt normaal niet op 1 (nummertje van je default gateway in de meeste gevallen) of 15 (ivm. broadcast adres ed.) maar dat doet er nu even niet toe ;)

Het MOET via een accesslist! Geen firewall ;)
Ik haalde mogelijk de termen host en dergelijke een beetje door elkaar ;)

Maar even uitgaande van jou uitleg en mijn vervolg antwoord. Wat kan ik nu het beste doen in mijn accesslist?

Je kan toch gewoon een htaccess voor de website zetten met allow/deny ?

Je kan toch gewoon een htaccess voor de website zetten met allow/deny ?

Ligt aan de opdracht, of dat via een bepaalde manier moet. Ik kan dat er nu ook echter niet helemaal uithalen ....

Nee je begrijpt me denk ik verkeerd ;)

Ik heb in mn netwerk laten we zeggen 100 computers. Al deze computers hebben als ip adres:
192.168.73.1
192.168.73.2
192.168.73.3
192.168.73.4
t/m
192.168.73.100

Nu wil ik dat ik met computers 192.168.73.1 t/m 192.168.73.15 toegang kan krijgen tot de website (dus ip: ) 217.116.8.13. De rest van al die 100 computers mag dit NIET.

Een ip voor een computer eindigt normaal niet op 1 (nummertje van je default gateway in de meeste gevallen) of 15 (ivm. broadcast adres ed.) maar dat doet er nu even niet toe ;)

Het MOET via een accesslist! Geen firewall ;)
Ik haalde mogelijk de termen host en dergelijke een beetje door elkaar ;)

Maar even uitgaande van jou uitleg en mijn vervolg antwoord. Wat kan ik nu het beste doen in mijn accesslist?

Het is maar wat je normaal vindt: Als je een paar vlans op een c-net moet aanmaken of routen dan kom je nog wel gekker dingen tegen.

Maar als ik het goed begrijp zou het zoiets moeten zijn... al is het erg lang geleden dat ik nog eens op een cisco heb gepruts. Als ik me goed herinner is de 0.0.0.15 een 4 bit wildcard (2^4 - 1).

access-list 10 permit ip 192.168.73.0 0.0.0.15 217.116.8.13 0.0.0.1 eq http

de rest in een deny gooien.

Ziet er goed uit maar waarom doe je dat laatste stukje erachter?:
217.116.8.13 0.0.0.1

Die 0.0.0.1 snap ik niet? Is toch niet noodzakelijk?

Overigens @ SF-Jeroen:
Tuurlijk niet. We praten hier over netwerken, niet over websites. Als ik de toegang tot google.nl wil blokkeren dan kan ik moeilijk aan google vragen of ze even een htaccess op hun site willen gooien ;)
Ik wil dat vanuit mn netwerk kunnen blokkeren.

Ziet er goed uit maar waarom doe je dat laatste stukje erachter?:
217.116.8.13 0.0.0.1

Die 0.0.0.1 snap ik niet? Is toch niet noodzakelijk?

Overigens @ SF-Jeroen:
Tuurlijk niet. We praten hier over netwerken, niet over websites. Als ik de toegang tot google.nl wil blokkeren dan kan ik moeilijk aan google vragen of ze even een htaccess op hun site willen gooien ;)
Ik wil dat vanuit mn netwerk kunnen blokkeren.

Jij geeft anders helemaal niet duidelijk aan wat je precies wil, of deze site van jezelf is of dat het om een willekeurige site gaat.

Ziet er goed uit maar waarom doe je dat laatste stukje erachter?:
217.116.8.13 0.0.0.1

Die 0.0.0.1 snap ik niet? Is toch niet noodzakelijk?

Overigens @ SF-Jeroen:
Tuurlijk niet. We praten hier over netwerken, niet over websites. Als ik de toegang tot google.nl wil blokkeren dan kan ik moeilijk aan google vragen of ze even een htaccess op hun site willen gooien ;)
Ik wil dat vanuit mn netwerk kunnen blokkeren.
Of dat noodzakelijk is of niet heeft te maken met je leraar. Als die dat wel vindt, dan wel, anders niet. Kijk gewoon eens wat ze je geleerd hebben aangezien het een toets betreft. Het komt vast en zeker in je leerstof voor :)

Het maakt toch niet uit of het mijn site is of de site van iemand anders ;)
Stel ik wil Google blokkeren, hoe doe ik dat? Simpeler kan ik de vraag toch niet maken? :)

Ps. Leerstof is heel lastig om zo 1-2-3 te begrijpen.

Edit:
Ik snap nog steeds dit niet:

"Ziet er goed uit maar waarom doe je dat laatste stukje erachter?:
217.116.8.13 0.0.0.1

Die 0.0.0.1 snap ik niet? Is toch niet noodzakelijk?"

Eigenlijk ben ik geen voorstander van het kant en klaar opleveren van antwoorden maar vooruit, voor de eerste opdracht


access-list 103 permit tcp 192.168.73.0 0.0.0.15 host 217.116.8.13 eq www

Ik heb de access-list naar 103 verandert , 1 tot 99 zijn standaard access-lists deze kunnen niet op porten filteren

Het idee van access-lists is te matchen op bits , dus als de leraar zegt dat je het onder elkaar moet schrijven dan moet je inderdaad even kijken , je zegt zelf al dat de eerste 4 bits kunnen veranderen , daarna wordt het 10000 .

dit klopt dus , als er vier bits kunnen veranderen dan match je dus op die hosts door te zeggen 0.0.0.15

de 2e opdracht moet je wel zelf doen :-) , tracen en pingen is een apart protocol en dus geen TCP , ik zou eens kijken naar ICMP.

let er echter wel op dat je geen websites kan blokkeren maar enkel ip adressen.

Eigenlijk ben ik geen voorstander van het kant en klaar opleveren van antwoorden maar vooruit, voor de eerste opdracht
Christ, goed werk Ewout :) Ik zou wel wat werk overlaten voor deze jongeman :)

En voor degene die lopen te nuilen over .htaccess en niet duidelijk zijn: dit is duidelijk huiswerk. En TS: je mag in je handen knijpen ;)

Mag ik jullie HARTELIJK bedanken!
Ik probeer iedereen op de hoogte te houden van de vorderingen haha ;)