sarekhl
Goto Top

Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren

Hallo zusammen,

ich möchte auf einem bestimmten vLAN meines SG 200 nur den TCP-Verkehr mit den Zielports 80 und 443 durchlassen, alles andere soll weggefiltert werden. Kann ich das irgendwo einstellen?

Danke im Voraus,
Sarek \\//_

Content-Key: 332758

Url: https://administrator.de/contentid/332758

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: michi1983
michi1983 21.03.2017 um 13:26:45 Uhr
Goto Top
Hallo,

klar: auf der Firewall face-wink

Gruß
Mitglied: SarekHL
SarekHL 21.03.2017 um 13:34:32 Uhr
Goto Top
Zitat von @michi1983:

klar: auf der Firewall face-wink

Ich möchte das wirklich im Switch regeln. Bei unserem D-Link-Switch bei meinem Arbeitgeber kann ich das über ACLs regeln, aber bei dem SG200 finde ich keine ACLs - oder heißen die da nur anders?
Mitglied: 132692
Lösung 132692 21.03.2017 aktualisiert um 13:40:02 Uhr
Goto Top
Moin.
Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht face-smile, da brauchst du dann schon die Layer-3 Version (SG300)

Machst du bei dir (wie schon gesagt wurde) also auf deiner Firewall wo du zwischen den VLANs routest, der SG200 kann ja aus Prinzip nicht zwischen den VLANs routen.

Gruß
Mitglied: michi1983
michi1983 21.03.2017 aktualisiert um 13:39:19 Uhr
Goto Top
Zitat von @SarekHL:
- oder heißen die da nur anders?
Nö, die heißen auch bei Cisco so. Nur gibts die beim SG200er nicht.
Mitglied: SarekHL
SarekHL 21.03.2017 um 13:40:06 Uhr
Goto Top
Zitat von @132692:

Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht face-smile, da brauchst du dann schon die Layer-3 Version (SG300)

Grummel ... ich habe dieses OSI-Modell nie verstanden ... zu abstrakt.
Mitglied: 132692
132692 21.03.2017 aktualisiert um 13:44:46 Uhr
Goto Top
Zitat von @SarekHL:
Grummel ... ich habe dieses OSI-Modell nie verstanden ... zu abstrakt.
Aber leider essentielles Wissen für Netzwerker face-smile
Hier steht's auch noch detailliert dargestellt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: brammer
brammer 21.03.2017 um 13:48:36 Uhr
Goto Top
Hallo,

@SarekHL

wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?
Alles was an der Firewall vorbei kommt kann potentiell Schaden anrichten.... Also sollte man es erst gar nicht soweit kommen lassen.

Aber das die SG200 das sowieso nicht können ist die Frage eher theoretischer Natur.....

brammer
Mitglied: 108012
Lösung 108012 21.03.2017 aktualisiert um 14:26:39 Uhr
Goto Top
Hallo,

ich möchte auf einem bestimmten vLAN meines SG 200 nur den TCP-Verkehr mit den Zielports 80 und 443 durchlassen, alles
andere soll weggefiltert werden. Kann ich das irgendwo einstellen?
- Am Router
- An der Firewall
- Mit ACLs am Switch (wenn möglich und vorhanden)

Alles ist möglich bei Deinem Vorhaben.

Gruß
Dobby
Mitglied: SarekHL
SarekHL 21.03.2017 um 15:49:07 Uhr
Goto Top
Zitat von @brammer:

wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?

Es geht eher um rauslassen. Wir wollen unterbinden, dass in einem bestimmten vLAN auf den Ports 25 und 110 (also unverschlüsselt) mit Mailservern kommuniziert wird. Ja, das geht auch im Router ... aber da benutzen wir eigentlich keine vLANs ... der Switch wäre also die einfachere Methode gewesen,
Mitglied: aqui
aqui 21.03.2017 um 15:53:02 Uhr
Goto Top
Kann ich das irgendwo einstellen?
Nein !
Der SG-200 ist ein Layer 2 only Switch (im Gegensatz zum SG-300 der es als L3 Switch kann) der keine IP Accesslisten auf den VLAN Ports supportet.
Ist auch völlig klar, denn als L2 Switch interessieren ihn der IP Header (und damit die IP Adressen) der Pakete nicht die Bohne.
Für ihn sind einzig nur die Mac Adressen relevant, denn nur anhand der Macs definiert er seine interne Forwarding Tabelle.
Das ist aber netzwerken erste Klasse Grundschule und solltest du als alter Administrator.de Haudegen doch nun langsam mal wissen hier mit den zig Grundlagenthreads face-wink
Folglich hast du auch Null Chance nach IP Adressen oder Ports (Layer 4) zu filtern auf diesem Switch.
Logischerweise machst du das an deinen VLAN Layer 3 Interfaces an Router oder Firewall wo du diese IP Netze routingtechnisch terminierst. Da ist es dann ein Kinderspiel.
Die Kollegen oben haben dich ja schon auf den richtigen Weg gebracht !
Mitglied: michi1983
michi1983 21.03.2017 um 15:53:22 Uhr
Goto Top
Vorher planen und analysieren, dann die richtige Hardware kaufen face-wink
Ist nicht böse gemeint.
Mitglied: aqui
aqui 21.03.2017 aktualisiert um 15:57:56 Uhr
Goto Top
Irgendwo routet er ja seine VLANs und da kann er dann auch sehr einfach filtern. Es klappt also auch mit seiner verwendeten HW.
Wo ein Wille ist ist auch ein Filter... face-wink
Mitglied: em-pie
em-pie 21.03.2017 aktualisiert um 20:42:13 Uhr
Goto Top
Moin,

wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?

Es geht eher um rauslassen. Wir wollen unterbinden, dass in einem bestimmten vLAN auf den Ports 25 und 110 (also unverschlüsselt) mit Mailservern kommuniziert wird. Ja, das geht auch im Router ... aber da benutzen wir eigentlich keine vLANs ...
Wer kümmert sich denn darum, dass der Traffic von VLAN 0815 nach 0816 kommt? Denn das Gerät muss ja die VLANs kennen.

Und wenn du im obigen Szenario mit Router das Gateway/ eine UTM (Router + Firewall + Proxy...) meinst, dann kenn die sehr wohl die ganzen IPs, die ins WAN wollen, sofern der VLAN-Router (so nennen ich jetzt mal den Router, der die VLANs "routet") nicht zum zentralen Gaetway hin NAT einsetzt... ansonsten wird einfach pauschal Port 110 und 25 ausgehend dicht gemacht. Aus die Laube...

Gruß
em-pie
Mitglied: StefanKittel
Lösung StefanKittel 22.03.2017 aktualisiert um 23:54:25 Uhr
Goto Top
Zitat von @SarekHL:
Grummel ... ich habe dieses OSI-Modell nie verstanden ... zu abstrakt.

Hallo,

hier ganz kurz und sehr vereinfacht die 7 ISO Layer
1 = Kabel
2 = Netzwerkpakete mit MAC-Adressen
3 = Netzwerkpakete mit IP-Adressen
7 = Anwendung
8 = Anwender

Ein Layer-2-Swich kennt also nur MAC-Adressen und weiß nichts von IP-Adressen.
Alle billigen, einfachen und dummen (unmanaged) Switche sind Layer-2.

Viele Grüße

Stefan
Mitglied: 108012
108012 22.03.2017 um 23:53:10 Uhr
Goto Top
Alle billige, einfache und dumme (unmanaged) Switche sind Layer-2.
Und dieser hier ist ein verwalteter Switch (managed) und auch Layer2!

Gruß
Dobby
Mitglied: StefanKittel
StefanKittel 22.03.2017 um 23:57:52 Uhr
Goto Top
Zitat von @108012:
Und dieser hier ist ein verwalteter Switch (managed) und auch Layer2!
Aber es ist ein einfacher Switch face-smile
Ich habe ein paar SG200 und SG300 im Einsatz bei Kunden.

Es ging mir eher darum zu sagen, dass die ganzen 10 Euro Switch alle Layer-2 sind.

<OT>
Ist ein Layer4-Switch eigentlich mehr Switch, Router oder Firewall?
</OT>
Mitglied: brammer
brammer 23.03.2017 um 08:43:32 Uhr
Goto Top
Hallo,

@StefanKittel

hier ganz kurz und sehr vereinfacht die 7 ISO Layer
1 = Kabel
2 = Netzwerkpakete mit MAC-Adressen
3 = Netzwerkpakete mit IP-Adressen
7 = Anwendung
8 = Anwender

etwas erweitert:

7 = Anwendung
4-7 = hier haben die Softwareentwickler Platz sich auszutoben und es verkehrt zu machen.....

brammer
Mitglied: 132692
132692 23.03.2017 um 08:45:26 Uhr
Goto Top
Zitat von @brammer:
7 = Anwendung
4-7 = hier haben die Softwareentwickler Platz sich auszutoben und es verkehrt zu machen.....
Was dann folglich bei Layer 8 zu vermehrtem Aspirinkosum führt face-smile
Mitglied: brammer
brammer 23.03.2017 um 08:47:19 Uhr
Goto Top
Hallo,

Ist ein Layer4-Switch eigentlich mehr Switch, Router oder Firewall?

ein Layer 4 Switch ist eine reine Marketing Bezeichnung....
Switche gibt es eigentlich nur auf Layer 2.
Auf Layer 3 ist es ein Switch mit, eingeschränkter, Routingfunktionalität

Ab Layer 4 ist eine eine Firewall mit Paketfilter oder Verhaltenserkennung .... oder was auch immer das Teil laut Marketing Abteilung da angeblich kann.

brammer