Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Extended Access Listen

Frage Netzwerke Router & Routing

Mitglied: 47382

47382 (Level 1)

26.04.2007, aktualisiert 27.04.2007, 3555 Aufrufe, 3 Kommentare

EACLs auf Cisco Router 1760

Hallo,

Ich möchte für mein Abschlussprojekt extended Access Listen auf einem Cisco Router 1760 konfigurieren. Ich habe folgende Listen erstellt:

Für den Datenverkehr von innen nach außen:
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 80
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 443
Access-list 110 permit udp 172.16.5.1 0.0.0.255 any eq 53

Für den Datenverkehr von außen nach innen:
Access-list 100 permit tcp any eq 80 172.16.5.1 0.0.0.255
Access-list 100 permit tcp any eq 443 172.16.5.1 0.0.0.255
Access-list 100 permit udp any eq 53 172.16.5.1 0.0.0.255

Sobald ich beide auf je ein Interface (fast ethernet und seriell) lege, kriegen die Rechner keinen Internzugang mehr. Dann habe ich versucht die Listen einzeln auf die Schnittstellen zu legen. Also:

Liste 100 in auf seriell --> funktioniert
Liste 100 in auf ethernet --> funktioniert nicht;I-Zugang für Rechner gesperrt
Liste 110 out auf seriell --> funktioniert
Liste 110 out auf ethernet --> funktioniert nicht ;I-Zugang für Rechner gesperrt

Wenn ich die Liste 110 auf das serielle Interface lege, funktionieren auch die gesetzten Regeln. Der angeschlossene Rechner hat nur Zugriff über die erlaubten Protokolle.

Weiß jemand, warum die Listen auf der Ethernet Schnittstelle den kompletten Internet-Zugang für die Rechner sperrt?

Vielen Dank für eure Hilfe
Mitglied: aqui
26.04.2007 um 08:53 Uhr
Das Verhalten ist auch vollkommen logisch und zeigt das die Access Listen einwandfrei funktionieren !
Die 100er Liste ist dein Problem und man kann nur hoffen das du den Abschluss nicht in einem EDV Fach machst, denn dann ist nicht viel von TCP/IP Verbindungsaufbau bei dir in der Ausbildung hängengeblieben...sorry
Deine Denke ist wahrscheinlich das z.B. HTTP bzw. HTTPS bei 443 immer auf Port TCP 80 kommuniziert, was natürlich komplett falsch ist ! Wenn dein lokaler Client eine TCP 80 Session aufmacht also ein TCP SYN Packet schickt, hat er in der Tat dort als Zielport den Port 80 drin aber als Quellport irgendwas zufälliges über 1024 den der Zielhost in seiner Antwort mit den SYN ACK Packet dann nutzt.
Deine outgoing Accessliste 100 blockt diesen Port dann richtigerweise, denn sie lässt ja ausschliesslich nur 80 bzw. 443 zu, funktioniert also richtig. Für dich natürlich nicht.... Das gleiche passiert mit deinen anderen Ports.

Lösen tust du das indem du deine ACL mit dem "established" Parameter versiehst und nur auf das Netz filterst. Generell sollte man mit outgoing Accesslisten vorsichtig sein da Process Switched (CPU lastig) auf den Ciscos.
Am besten du nimmst dir mal einen Sniffer wie den Wireshark und beobachtest mal einen Port TCP 80 Sessionaufbau, dann wird dir das Prinzip schnell klar.
Bitte warten ..
Mitglied: 47382
26.04.2007 um 10:48 Uhr
Hi,
Klingt logisch
Es ist nur unlogisch, dass beide Access Listen auf der seriellen Schnittstelle funktionieren und nur auf der Ethernet Schnittstelle nicht. Ich hab beide auf die serielle gelegt und es gehte-Die Rechner konnten nur auf zugelassenes Zugreifen. Sobald ich aber beide oder nur eine auf die ethernet Schnittstelle lege, kommen die Rechner nich mehr ins I-Net.
Bitte warten ..
Mitglied: aqui
27.04.2007 um 18:36 Uhr
Das ist eigentlich ungewoehnlich.... Machst du irgendeine Art von NAT auf dem System oder nur einfaches banales IP Routing ???
Am besten du schaltest mal den Packet Debugger ein und siehst dir das mal an. Da sagt er dir genau was durch die ACL geht und was nicht...

Viel schlimmer ist aber wenn man genau hinsieht das deine ACL ausserdem syntaktisch nicht richtig bzw. nicht eindeutig !!!
Du filterst auf einen Host 172.16.5.1, was eigentlich eine 32 Bit Filtermaske (0.0.0.0) erforderlich macht und hast aber eine Netzwerkmaske von nur 24 Bit konfiguriert (0.0.0.255) das widerspricht sich natürlich komplett !
Daher werden wahrscheinlich die Probleme kommen denn die ACL ist so eigentlich logisch falsch ! Komisch das der Cisco CLI Parser das überhaupt annimmt ??!!

Entweder du filterst auf den Host den du angegeben hast, dann muss deine Filtermaske 0.0.0.0 lauten (32 Bit) oder einfach den Paramter host vor der Adresse verwenden. Also so:

access-list 110 permit tcp host 172.16.5.1 any eq 80

Oder du filterst auf das Netzwerk, was deine Maske eigentlich aussagt, da 24 Bit ! Dann ist aber die Angabe einer Hostadresse falsch, denn es muss dann eine Netzadresse sein und es müsste dann richtig lauten:

access-list 110 permit tcp 172.16.5.0 0.0.0.255 any eq 80

Das beinhaltet dann alle Adressen von .1 bis .254. fuer den angegebene Port.
Fuer eins musst du dich aber entscheiden, beides geht nicht !!!
So wie oben ist die ACL syntaktisch falsch !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Kann ACL nicht vom VLAN entfernen "Access Control List has not been configured" (5)

Frage von 121103 zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
Cisco Switch - Extended VLANs konfigurieren (3)

Frage von kevische zum Thema Netzwerkmanagement ...

Switche und Hubs
HP Aruba 2920 ACCESS-LIST erstellen? (8)

Frage von Henning32 zum Thema Switche und Hubs ...

PHP
Lange Liste und einige häsliche Schleifen (4)

Frage von WPFORGE zum Thema PHP ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

(1)

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1X-Authentifizierung (14)

Frage von Alex29 zum Thema LAN, WAN, Wireless ...