[Reti di calcolatori, ACL] Esecizio sulle ACL

[simoorusso]

Questo è il testo dell'esercizo

Ho una serie di dubbi da chiarire, adotto il metodo secondo cui tutto ciò che non è detto è negato, il primo comando dice la rete 193.100.102.0/24 può accedere alla rete 193.102.103.0/24 e alla DMZ (193.100.101.0/29), ciò si traduce solo in una permit su la rete 193.102.103.0/24 e alla DMZ? Non devo negare nulla giusto?
Mentre il secondo comando mi dice la rete 193.102.102.100 può accedere solo al server web contenuto nella DMZ cio si solo con una permit sulla dmz con protocollo TCP sulla porta 80 e una deny sulla DMZ con protocollo IP, non devo negare niente altro giusto?
Il terzo comando implica che faccia una deny sulla DMZ, protocollo TCP porta 21 e poi una permit any?
Il quinto mi dice che può accedere solo alla DMZ quindi qui ho una permit sulla DMZ con protocollo IP e una deny any?

Per identificare una regola generale posso dire che se mi viene detto che una rete può accedere solo ad una determinata rete/server bisogna fare una permit su quella rete e negare tutto il resto (any), mentre se mi viene detto può accedere a quella rete non devo chiamare in gioco nessun'altra rete al di fuori delle due in questione?

[giovx24]

ciao,
vediamo se ricordo qualcosa

in genere le access list estese vanno sempre applicate al router più vicino al mittente, in questo modo si evita traffico inutile(mentre per quelle standard è necessario il contrario)
inoltre la deny nella tabella c'è di default è sta sempre alla fine ovvero è l'ultima che viene presa in considerazione.

quindi nel primo caso metti due permit nel router piu vicino alla 192.100.102.0/24.

per la seconda non capisco perchè metti la seconda deny? basta una permit sempre sul router piu vicino al mittente. se metti una deny su IP considerando che TCP viaggia su IP i pacchetti TCP non passsano

il terzo e il quinto vanno bene, ricorda di farle sempre nel router piu vicino