Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Extended Access Listen

Frage Netzwerke Router & Routing

Mitglied: 47382

47382 (Level 1)

26.04.2007, aktualisiert 27.04.2007, 3561 Aufrufe, 3 Kommentare

EACLs auf Cisco Router 1760

Hallo,

Ich möchte für mein Abschlussprojekt extended Access Listen auf einem Cisco Router 1760 konfigurieren. Ich habe folgende Listen erstellt:

Für den Datenverkehr von innen nach außen:
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 80
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 443
Access-list 110 permit udp 172.16.5.1 0.0.0.255 any eq 53

Für den Datenverkehr von außen nach innen:
Access-list 100 permit tcp any eq 80 172.16.5.1 0.0.0.255
Access-list 100 permit tcp any eq 443 172.16.5.1 0.0.0.255
Access-list 100 permit udp any eq 53 172.16.5.1 0.0.0.255

Sobald ich beide auf je ein Interface (fast ethernet und seriell) lege, kriegen die Rechner keinen Internzugang mehr. Dann habe ich versucht die Listen einzeln auf die Schnittstellen zu legen. Also:

Liste 100 in auf seriell --> funktioniert
Liste 100 in auf ethernet --> funktioniert nicht;I-Zugang für Rechner gesperrt
Liste 110 out auf seriell --> funktioniert
Liste 110 out auf ethernet --> funktioniert nicht ;I-Zugang für Rechner gesperrt

Wenn ich die Liste 110 auf das serielle Interface lege, funktionieren auch die gesetzten Regeln. Der angeschlossene Rechner hat nur Zugriff über die erlaubten Protokolle.

Weiß jemand, warum die Listen auf der Ethernet Schnittstelle den kompletten Internet-Zugang für die Rechner sperrt?

Vielen Dank für eure Hilfe
Mitglied: aqui
26.04.2007 um 08:53 Uhr
Das Verhalten ist auch vollkommen logisch und zeigt das die Access Listen einwandfrei funktionieren !
Die 100er Liste ist dein Problem und man kann nur hoffen das du den Abschluss nicht in einem EDV Fach machst, denn dann ist nicht viel von TCP/IP Verbindungsaufbau bei dir in der Ausbildung hängengeblieben...sorry
Deine Denke ist wahrscheinlich das z.B. HTTP bzw. HTTPS bei 443 immer auf Port TCP 80 kommuniziert, was natürlich komplett falsch ist ! Wenn dein lokaler Client eine TCP 80 Session aufmacht also ein TCP SYN Packet schickt, hat er in der Tat dort als Zielport den Port 80 drin aber als Quellport irgendwas zufälliges über 1024 den der Zielhost in seiner Antwort mit den SYN ACK Packet dann nutzt.
Deine outgoing Accessliste 100 blockt diesen Port dann richtigerweise, denn sie lässt ja ausschliesslich nur 80 bzw. 443 zu, funktioniert also richtig. Für dich natürlich nicht.... Das gleiche passiert mit deinen anderen Ports.

Lösen tust du das indem du deine ACL mit dem "established" Parameter versiehst und nur auf das Netz filterst. Generell sollte man mit outgoing Accesslisten vorsichtig sein da Process Switched (CPU lastig) auf den Ciscos.
Am besten du nimmst dir mal einen Sniffer wie den Wireshark und beobachtest mal einen Port TCP 80 Sessionaufbau, dann wird dir das Prinzip schnell klar.
Bitte warten ..
Mitglied: 47382
26.04.2007 um 10:48 Uhr
Hi,
Klingt logisch
Es ist nur unlogisch, dass beide Access Listen auf der seriellen Schnittstelle funktionieren und nur auf der Ethernet Schnittstelle nicht. Ich hab beide auf die serielle gelegt und es gehte-Die Rechner konnten nur auf zugelassenes Zugreifen. Sobald ich aber beide oder nur eine auf die ethernet Schnittstelle lege, kommen die Rechner nich mehr ins I-Net.
Bitte warten ..
Mitglied: aqui
27.04.2007 um 18:36 Uhr
Das ist eigentlich ungewoehnlich.... Machst du irgendeine Art von NAT auf dem System oder nur einfaches banales IP Routing ???
Am besten du schaltest mal den Packet Debugger ein und siehst dir das mal an. Da sagt er dir genau was durch die ACL geht und was nicht...

Viel schlimmer ist aber wenn man genau hinsieht das deine ACL ausserdem syntaktisch nicht richtig bzw. nicht eindeutig !!!
Du filterst auf einen Host 172.16.5.1, was eigentlich eine 32 Bit Filtermaske (0.0.0.0) erforderlich macht und hast aber eine Netzwerkmaske von nur 24 Bit konfiguriert (0.0.0.255) das widerspricht sich natürlich komplett !
Daher werden wahrscheinlich die Probleme kommen denn die ACL ist so eigentlich logisch falsch ! Komisch das der Cisco CLI Parser das überhaupt annimmt ??!!

Entweder du filterst auf den Host den du angegeben hast, dann muss deine Filtermaske 0.0.0.0 lauten (32 Bit) oder einfach den Paramter host vor der Adresse verwenden. Also so:

access-list 110 permit tcp host 172.16.5.1 any eq 80

Oder du filterst auf das Netzwerk, was deine Maske eigentlich aussagt, da 24 Bit ! Dann ist aber die Angabe einer Hostadresse falsch, denn es muss dann eine Netzadresse sein und es müsste dann richtig lauten:

access-list 110 permit tcp 172.16.5.0 0.0.0.255 any eq 80

Das beinhaltet dann alle Adressen von .1 bis .254. fuer den angegebene Port.
Fuer eins musst du dich aber entscheiden, beides geht nicht !!!
So wie oben ist die ACL syntaktisch falsch !
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Grundlagen zu Access Control Lists bei Enterasys Switches
gelöst Frage von teret4242Switche und Hubs4 Kommentare

Moin, auf was muss man achten, wenn man bei Switches von Enterasys (B5-Serie) ACL's erstellt damit diese wirksam werden? ...

Switche und Hubs
HP Aruba 2920 ACCESS-LIST erstellen?
Frage von Henning32Switche und Hubs8 Kommentare

Hallo zusammen, ich hoffe ich könnt mir helfen, ich habe einen HP 2920 Switch, dort möchte ich einfach eine ...

Netzwerkmanagement
Cisco Switch - Extended VLANs konfigurieren
Frage von kevischeNetzwerkmanagement3 Kommentare

Hallo, ich habe einen Cisco-Switch ST-3750X auf dem ich VLANs im Extended-Bereich konfigurieren möchte. Wenn ich z.B. VLAN 2000 ...

Viren und Trojaner
Ransomeware - Liste
gelöst Frage von ArnoNymousViren und Trojaner5 Kommentare

Hallo, wieder mal hat eine Cryptotrojaner zugeschlagen. Backup ist vorhanden, aber nur vom Mittwoch. Entsprechende Person war daraufhin nicht ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 2 StundenMac OS X

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser ereichbar sind. Leider fehlt ...

Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 9 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 10 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 13 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...