Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Extended Access Listen

Frage Netzwerke Router & Routing

Mitglied: 47382

47382 (Level 1)

26.04.2007, aktualisiert 27.04.2007, 3532 Aufrufe, 3 Kommentare

EACLs auf Cisco Router 1760

Hallo,

Ich möchte für mein Abschlussprojekt extended Access Listen auf einem Cisco Router 1760 konfigurieren. Ich habe folgende Listen erstellt:

Für den Datenverkehr von innen nach außen:
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 80
Access-list 110 permit tcp 172.16.5.1 0.0.0.255 any eq 443
Access-list 110 permit udp 172.16.5.1 0.0.0.255 any eq 53

Für den Datenverkehr von außen nach innen:
Access-list 100 permit tcp any eq 80 172.16.5.1 0.0.0.255
Access-list 100 permit tcp any eq 443 172.16.5.1 0.0.0.255
Access-list 100 permit udp any eq 53 172.16.5.1 0.0.0.255

Sobald ich beide auf je ein Interface (fast ethernet und seriell) lege, kriegen die Rechner keinen Internzugang mehr. Dann habe ich versucht die Listen einzeln auf die Schnittstellen zu legen. Also:

Liste 100 in auf seriell --> funktioniert
Liste 100 in auf ethernet --> funktioniert nicht;I-Zugang für Rechner gesperrt
Liste 110 out auf seriell --> funktioniert
Liste 110 out auf ethernet --> funktioniert nicht ;I-Zugang für Rechner gesperrt

Wenn ich die Liste 110 auf das serielle Interface lege, funktionieren auch die gesetzten Regeln. Der angeschlossene Rechner hat nur Zugriff über die erlaubten Protokolle.

Weiß jemand, warum die Listen auf der Ethernet Schnittstelle den kompletten Internet-Zugang für die Rechner sperrt?

Vielen Dank für eure Hilfe
Mitglied: aqui
26.04.2007 um 08:53 Uhr
Das Verhalten ist auch vollkommen logisch und zeigt das die Access Listen einwandfrei funktionieren !
Die 100er Liste ist dein Problem und man kann nur hoffen das du den Abschluss nicht in einem EDV Fach machst, denn dann ist nicht viel von TCP/IP Verbindungsaufbau bei dir in der Ausbildung hängengeblieben...sorry
Deine Denke ist wahrscheinlich das z.B. HTTP bzw. HTTPS bei 443 immer auf Port TCP 80 kommuniziert, was natürlich komplett falsch ist ! Wenn dein lokaler Client eine TCP 80 Session aufmacht also ein TCP SYN Packet schickt, hat er in der Tat dort als Zielport den Port 80 drin aber als Quellport irgendwas zufälliges über 1024 den der Zielhost in seiner Antwort mit den SYN ACK Packet dann nutzt.
Deine outgoing Accessliste 100 blockt diesen Port dann richtigerweise, denn sie lässt ja ausschliesslich nur 80 bzw. 443 zu, funktioniert also richtig. Für dich natürlich nicht.... Das gleiche passiert mit deinen anderen Ports.

Lösen tust du das indem du deine ACL mit dem "established" Parameter versiehst und nur auf das Netz filterst. Generell sollte man mit outgoing Accesslisten vorsichtig sein da Process Switched (CPU lastig) auf den Ciscos.
Am besten du nimmst dir mal einen Sniffer wie den Wireshark und beobachtest mal einen Port TCP 80 Sessionaufbau, dann wird dir das Prinzip schnell klar.
Bitte warten ..
Mitglied: 47382
26.04.2007 um 10:48 Uhr
Hi,
Klingt logisch
Es ist nur unlogisch, dass beide Access Listen auf der seriellen Schnittstelle funktionieren und nur auf der Ethernet Schnittstelle nicht. Ich hab beide auf die serielle gelegt und es gehte-Die Rechner konnten nur auf zugelassenes Zugreifen. Sobald ich aber beide oder nur eine auf die ethernet Schnittstelle lege, kommen die Rechner nich mehr ins I-Net.
Bitte warten ..
Mitglied: aqui
27.04.2007 um 18:36 Uhr
Das ist eigentlich ungewoehnlich.... Machst du irgendeine Art von NAT auf dem System oder nur einfaches banales IP Routing ???
Am besten du schaltest mal den Packet Debugger ein und siehst dir das mal an. Da sagt er dir genau was durch die ACL geht und was nicht...

Viel schlimmer ist aber wenn man genau hinsieht das deine ACL ausserdem syntaktisch nicht richtig bzw. nicht eindeutig !!!
Du filterst auf einen Host 172.16.5.1, was eigentlich eine 32 Bit Filtermaske (0.0.0.0) erforderlich macht und hast aber eine Netzwerkmaske von nur 24 Bit konfiguriert (0.0.0.255) das widerspricht sich natürlich komplett !
Daher werden wahrscheinlich die Probleme kommen denn die ACL ist so eigentlich logisch falsch ! Komisch das der Cisco CLI Parser das überhaupt annimmt ??!!

Entweder du filterst auf den Host den du angegeben hast, dann muss deine Filtermaske 0.0.0.0 lauten (32 Bit) oder einfach den Paramter host vor der Adresse verwenden. Also so:

access-list 110 permit tcp host 172.16.5.1 any eq 80

Oder du filterst auf das Netzwerk, was deine Maske eigentlich aussagt, da 24 Bit ! Dann ist aber die Angabe einer Hostadresse falsch, denn es muss dann eine Netzadresse sein und es müsste dann richtig lauten:

access-list 110 permit tcp 172.16.5.0 0.0.0.255 any eq 80

Das beinhaltet dann alle Adressen von .1 bis .254. fuer den angegebene Port.
Fuer eins musst du dich aber entscheiden, beides geht nicht !!!
So wie oben ist die ACL syntaktisch falsch !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
Freifunk über vorhandene Access Points ausstrahlen (2)

Frage von Uwoerl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Microsoft Office
gelöst Access 2007 (2)

Frage von Everest zum Thema Microsoft Office ...

Microsoft Office
Access ein Script alle X Minuten ausführen und bei Bedarf stoppen (5)

Frage von thomas1972 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...