Ciao ragazzi... ho in ufficio un router cisco, dovrebbe essere un 2600...
Siccome dietro ci girano un 100inaio di compueter e 4 server, come faccio a controllare l'utilizzo di internet da parte dei computer??

Cioè, riesco ad estrapolare un log o una tabella che mi faccia vedere l'inidirzzi IP che vanno in esterno? e magari anche il link?

Chi mi aiuta?

Grazie in anticipo, Stefano.

- crea una access list estesa e loggala, del tipo:

router(config)#access-list 102 permit tcp any any eq 80 log
router(config)#access-list 102 permit ip any any
router(config)#int (interfaccia interna alla lan quindi credo sia eth0/0)
router(config-if)#ip access-group 102 in

Se hai già delle access lists togli il "permit ip any any".

Occhio che se metti solo la prima access list poi tutto il restante traffico (escluso quello sulla porta 80) viene bloccato perche c'è un implicito deny ip any any.

Per vedere il traffico ci sono 3 modi:

- vedi soli i pacchetti che matchano la regola. Fai solo show access-list e vedrai quanti pacchetti hanno matchato.

- lanci un debug sul router, ma non ci capirai un tubo ma se ti serve cosi per sport va bene. Va isul router scrivi debug ip packet 102. Occhio che se sei in telnet devi attivare il comando term mon altrimetni non vedi niente.

- ti scarichi un programmino di syslog, ce ne sono una botta gratuiti che ti prelevano in tempo reale i log dei cisco.

ciao

anzi ti sconsiglio vivamente di smanettare sulle access lists se non sai di cosa stiamo parlando.

Rischi di non riuscire piu a tornare indietro. Siccome è, mi pare, un router di produzione eviterei.

Se devi fare 2 prove con un router di test fallo pure.

un piccolo particolare è che io non riesco a prendere il mio router internamente....

cioè se io faccio http:\\indirizzo del router... non mi risponde....

lo prenderei solo tramite consolle!!!

Queste access-list come si creano? riesci a darmi spiegazioni + dettagliate??

Grazie in anticipo, Stefano!

se non ci arrivi tramite http:// blablabla vuol dire che l'interfaccia web è disattivata.

Ci arrivi via telnet o console (porta seriale sul router che ha la stessa presa della ethernet).


Queste access-list come si creano? riesci a darmi spiegazioni + dettagliate??


Allora: nei cisco hai molto potere pero devi sapere esattamete cosa stai facendo, e devi riuscire a tornare indietro. Avere 100 hosts fermi, cosa che puo succedere anche sbagliando un carattere sulla access list, non è bello.

Se ti serve perche ti è stato chiesto di metterlo in produzione, ne discutiamo.
Se vuoi giocarci, evita. Nei cisco non hai la bella interfaccia web (ce l'hai ma non per le access list) con i wizard etc...se ti impianti poi devi saper tornare indietro.

ciao

capisco e ti ringrazio per i consigli preziosi...!!! :) :)