Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sonderhaftes Verhalten einer ACL auf einem Cisco Router

Mitglied: keksdieb

keksdieb (Level 1) - Jetzt verbinden

12.03.2013 um 11:02 Uhr, 1884 Aufrufe, 2 Kommentare

Ich hab auf unserem Cisco 1841 Router eine ACL, die den Traffic vom Produktiv-Netz zum Gastnetz unterbinden soll. Allerdings verhält sich die ACL etwas sonderbar...

Moin moin,

Zum Netzaufbau, ich habe ein Produktiv-Netz (192.168.0.0 /24) und ein Gastnetz (10.42.201.0/24), die über einen Router (Cisco 1841) verbunden sind.

Mittel ACL´s möchte ich nun den Traffic zwischen Produktiv und Gastnetz einschränken.

Auf dem Interface für das Gastnetz ist die ACL Customer-Lan eingebunden

01.
interface Vlan10 
02.
 description Customer-Lan-Interface 
03.
 ip address 10.42.201.2 255.255.255.0 
04.
 ip access-group Customer-Lan in 
05.
 ip nat inside 
06.
 ip virtual-reassembly
die ACL hat folgende Einträge:
01.
Extended IP access list Customer-Lan 
02.
    10 permit tcp any any established (12 matches) 
03.
    20 permit udp any any eq snmp log 
04.
    30 permit tcp any any eq 9100 log 
05.
    40 permit tcp 192.168.0.0 0.0.0.255 any eq www 
06.
    50 permit tcp 192.168.0.0 0.0.0.255 any eq 443 
07.
    60 permit tcp 192.168.0.0 0.0.0.255 any eq ftp 
08.
    70 permit tcp 192.168.0.0 0.0.0.255 any eq telnet 
09.
    80 deny ip any any log (690 matches)
Die Verbindung via HTTP funktioniert ins Gastnetz, allerdings verstehe ich nicht, warum die Hits auf der ACL nicht gezählt werden.
Möchte ich allerdings die Druckereinstellungen auf einem Drucker im Gastnetz aufrufen (von einem Windows PC), dann gibt das Log die Meldung
01.
000294: *Mar 12 10:30:08.477 CET: %SEC-6-IPACCESSLOGP: list Customer-Lan denied udp 10.42.201.113(161) -> 192.168.0.xxx(53655), 1 packet
Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.
Die Meldung im Log sagt aber, dass das ausgehende Paket (10.42.201.113) nicht ins Produktiv-Netz (192.168.0.xxx) darf.

Eventuell habt ihr ja eine Idee, ich steh mal wieder auf dem Schlauch :D

Gruß Keksdieb
Mitglied: dog
12.03.2013, aktualisiert um 13:17 Uhr
01.
interface Vlan10  
02.
 ip access-group Customer-Lan in 
Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.

Die arbeitet ja auch eingehend.
Nämlich auf alle Pakete, die am Interface Vlan10 eingehen.

Für Langsame: Traffic der in das Gastnetz will ist an Vlan10 natürlich ausgehend.
Bitte warten ..
Mitglied: keksdieb
12.03.2013, aktualisiert um 13:46 Uhr
Oh mein Gott...

gibt es nicht mehr zu zu sagen!
Viel Schlimmer ist, dass das Log genau das sagt und ich Depp den Wald inklusive Bäume nicht gesehen hab!

Vielen Dank dog und Asche auf mein Haupt!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco ACL Übungen Erklärung
Frage von Luzifer696Switche und Hubs3 Kommentare

Hallo, Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch. Ich habe am MI ...

Router & Routing
Cisco SG300: ACLs einrichten
gelöst Frage von caspi-pirnaRouter & Routing3 Kommentare

Hallo, ich habe einen Cisco SG300-10- Switch, welchen ich im L3-Routing-Modus betreibe und div. VLANs angelegt. Aktuell plane ich ...

Router & Routing

Routen zwischen den VLANs verhindern - ACL

gelöst Frage von Maik82Router & Routing11 Kommentare

Guten Tag, SWITCH Cisco SG300 /28 wie müsste eine ACL aussehen wenn ich 4 VLANS habe VLAN 100 - ...

LAN, WAN, Wireless

Cisco ASA Priority Queue via ACL

Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich würde gerne Videotraffic von einem externen Server im lokalen LAN Prioritisieren, momentan ruckeln Videos sehr wenn ein ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 5 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 12 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 15 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...