synex-m
Jun 11, 2013
view10776
view11
0
Goto Top

Cisco SG300 ACLs einrichten

GermansolvedQuestionNetworks
Hallo zusammen,


Ich habe folgendes Netzwerk (nur ein Beispiel) bzw. es gibt folgende VLANs deren Zugriff reglementiert werden soll:

6deb3b257fd0c4488da0ea5e4477a929

Ich habe nun ACLs definiert:

VLAN2
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN3
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN4
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN5
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN6
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
permit any any


(Da ich nur rudimentäre Kenntnisse von ACLs besitze) würde man so die Zugriffsbeschränkungen definieren? Ich habe z.B gelesen, dass es besser wäre per se erst einmal alles zu verbieten (deny any any). In dem Fall habe ich keinen Internetzugang mehr (Router ist in VLAN1).

Eine grundlegende Frage stellt sich mir auch noch. Mir ist nicht ganz klar: Kann ich nur den ausgehenden Verkehr verbieten also z.b deny any 192.168.4.0? Denn umgekehrt deny 192.168.4.0 any funktioniert nicht. Hat keine Wirkung?

Hoffe ihr könnt mir weiterhelfen und ein paar Tipps geben.

Viele Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 207807

Url: https://administrator.de/contentid/207807

Printed on: April 23, 2024 at 14:04 o'clock

11 Comments
Latest comment
Goto Top
Member: adminst
adminst Jun 11, 2013 at 09:04:58 (UTC)
Goto Top
Hallo
Erstmal danke für die Übersichtliche Darstellung.
Ich frage mich wieso du nicht die ACLs über die Firewall definierst.
Dort könntest du sauber von Denny all aufarbeiten bis du alles sauber hast und könntest alles andere auch definieren...

Gruss
adminst
Member: synex-m
synex-m Jun 11, 2013 at 09:41:41 (UTC)
Goto Top
Leider habe ich keine Firewall. Die ACLs definiere ich beim Switch (Layer 3 Modus).
Member: keksdieb
keksdieb Jun 11, 2013 at 10:47:22 (UTC)
Goto Top
Moin moin,

ein permit ip any any ist ansich schonmal der falsche Ansatz, da du damit jeglichen Datenverkehr erlaubst (natürlich ausgenommen der Range, die du expliziet verbietest)

Meiner Meinung wäre der bessere Ansatz die erlaubten Netze explizit festzulegen und dann ein deny any any zu machen.

kleines Beispiel:
VLAN 2
permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip any any

wichtig ist es dann natürlich die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird.

Gruß Keks

P.S.: das deny any any am ende kannst du dir sparen, da Cisco in einer ACL am ende der Regelkette ein implizites deny any any hat.
Member: synex-m
synex-m Jun 11, 2013 at 11:34:09 (UTC)
Goto Top
Danke für deine Antwort.
Hatte bereits versucht die ACLs so zu definieren, wie du es beschreibst. In dem Fall kann ich allerdings keine Webseiten mehr aus den VLANs 2,3,4,5,6 erreichen :S

Eventuell ist das der springende Punkt: "die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird"? Nur weiß ich nicht, wie ich das erreichen kann?
Member: keksdieb
keksdieb Jun 11, 2013 updated at 13:03:49 (UTC)
Goto Top
Auf dem Interface Vlan 2 sollte ein "access-group ACL-Name in" reichen.

Will jetzt das Datenpaket von Vlan 2 ins Vlan X, passiert es als erstes die ACL und wird danach erst ins Netzwerk weiter gegeben.
Das du Webseiten in allen anderen Vlans aufrufen möchtest stand aber nicht in deiner Frage, oder?

Gruß Keks
Member: synex-m
synex-m Jun 11, 2013 at 13:34:32 (UTC)
Goto Top
Indirekt. Also die VLANs 2,3,4,5,6 sollen schon einen Internetzugang über den Router, der sich in VLAN1 befindet, bekommen. Nur wenn ich alles blockiere und nur 192.168.1.0 freigebe reicht das anscheinend nicht, um jedem VLAN Zugang zu gewähren.

Vielleicht noch zum Aufbau des Netzes: Der Switch (im Layer 3 Modus) befindet sich hinter dem Router (0815 Router, FritzBox). Auf dem Router sind Routen in die entsprechenden Subnetze eingetragen. Interfaces und VLANs sind am Switch eingetragen. Dort definiere ich auch die ACLs.
Member: aqui
aqui Jun 11, 2013 at 15:54:05 (UTC)
Goto Top
Bei den ACLs gilt immer "First Match wins" !
Das heist die erste Bedingung die stimmt bewirkt das die nachfolgenden nicht mehr abgearbeitet werden.
D.h. die Reihenfolge in den Listen ist also essentiell wichtig.
Wenn du Produktivtraffic in VLAN 1 hast ist es besser den Internet Zugang in einseparates VLAB auszulagern, damit trennst du den dann komplett von Produktiv VLANs und vereinfachts die ACL Logik.

Wenn du in deinem Szenario also Internet haben willst in den VLANs 2,3,4,5 und 6 dann musst du die DENY Statements zuerst eingeben die den Internen Zugriff regeln.
Bei VLAN 2 z.B: das nicht auf 4,5 und 6 zugreifen soll aber Intrernet Zugang haben soll sähe das beispielhaft so aus:
deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
permit any anyAchtung das gilt für eine Inbound ACL also eingehend
Generell supporten Billigswitches meist nur Inbound ACL und keine Outbound ACLs.
Das musst du im Ciso Handbuch sicher klären.
An das Layer 3 Interface int vlan x bindest du diese ACL dann mit dem Kommando ip access-group xy in als incoming ACL ("out" dann entsprechend outbound wenn der Switch das kann)
Die Syntax ist jetzt Catalyst IOS Syntax der großen Brüder vom SG Billigsegement, dürfte aber identisch sein !
Member: synex-m
synex-m Jun 11, 2013 at 17:06:35 (UTC)
Goto Top
@ aqui
Wenn ich dich jetzt richtig verstehe, kann ich die Regeln also so verwenden, wie ich Sie oben habe?? Die Regel für VLAN2 entspricht ja (fast) meiner obigen.

Okay..Im Cisco Forum habe ich jetzt einen Beitrag gefunden in dem steht: "Correct, there is not an inside or outside, the ACL is applied ingress only" (bezieht sich auf den SG300). Also gibt es nur eingehend.
Liest sich eine Regel dann so: Verbiete eingehenden Traffic nach 192.168.2.0 von 192.168.4.0 ?
Member: keksdieb
keksdieb Jun 12, 2013 at 09:23:26 (UTC)
Goto Top
Moin Synex,

der Switch kann somit nur inside ACL´s abarbeiten.

Halte dich bei der Konfiguration an das Beispiel von aqui, bei deinen Regeln fehlt das Sourcenetz...

Die Regel ließt sich dann so:
Verbiete eingehenden Traffic von 192.168.2.0 nach 192.168.4.0

Das Paket kommt am Port an, es ist also ein "incoming Paket"

Auf der Cisco Seite ist es eigentlich gut verständlich erklärt:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...

gruß Keksdieb
Member: aqui
aqui Jun 12, 2013 updated at 13:27:04 (UTC)
Goto Top
.@synex
Das war zu erwarten...wie gesagt bei Billigkomponenten immer nur ingress.
Die ACL Syntax liest sich dann am Beispiel:
//deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255/
so:
Verbiete Pakete mit der Absender IP 192.168.2.egal zur Ziel IP 192.168.4.egal
Also "Blocke alles was vom .2er Netz ins .4er Netz will " !
Es kommt immer erst die Source IP dann die Destination IP in einer ACL.

Damit solltest du das ja nun wasserdicht hinbekommen ?!
Member: synex-m
synex-m Jun 12, 2013 at 13:48:19 (UTC)
Goto Top
Alles klar.
Vielen Dank allen, die mir Tipps gegeben haben!!!
GermansolvedQuestionNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment