Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Packet-tracer zum testen einer ACL ip

Frage Sicherheit Firewall

Mitglied: haiqualle

haiqualle (Level 1) - Jetzt verbinden

23.02.2015 um 12:31 Uhr, 709 Aufrufe, 5 Kommentare

Hi,

wie teste ich den Durchgang:

access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0

Meine Idee:

packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0

Das Problem:

Es gibt eine ACL die ICMP any any erlaubt

diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...

Aber wie teste die das ganze ??

Mitglied: aqui
23.02.2015 um 13:20 Uhr
Oder der Klassiker GNS3 geht auch, denn damit kannst du dir original ACL konfigurieren:
http://www.gns3.com
Es gibt eine ACL die ICMP any any erlaubt
Gut...wo ist hier jetzt die Frage ? ICMP ist nicht IP !! Weisst du ja vermutlich selber
show access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Das liegt aber an dir selber ! Du musst natürlich ein,al ICMP Test verwenden (Ping, Traceroute etc.) und die andere Liste eben mit IP. Da nimmst du dann Telnet. HTTP oder sowas. Wo ist also dein Problem ?
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 13:55 Uhr
...

Mir ist nicht ganz klar, was die ACL erlaubt ?!

Wie ist der genaue Befehl zum prüfen einer ACL ip ?

Vielen Dank
Bitte warten ..
Mitglied: aqui
23.02.2015, aktualisiert um 19:00 Uhr
Mir ist nicht ganz klar, was die ACL erlaubt ?!
Solltest du aber wenn DU die ACL erstellt hast ?!?
Eine ICMP ACL betrifft einzig und allein ICMP Traffic, eine IP ACL betrifft allen IP basierten Traffic....ganz einfach !!

Beispiel:
deny ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
permit any any

Verbietet z.B. alles was einen Absender IP mit 10.x.x.x hat und als Zieladresse was mit 10.1.1.x hat und erlaubt den gesamten Rest.
Umgedreht:
permit ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Erlaubt nur Pakete hier mit einer Absender IP von 10.x.x.x hat und als Zieladresse 10.1.1.x hat und verbietet den gesamten Rest ( deny any any ist immer Default am Ende einer "permit" ACL
Bei "icmp" gelten die Regel dann eben halt nur für ICMP Traffic, denn wie jeder Netzwerker weiss ist ICMP ein eigenes Protokoll !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 19:16 Uhr
Okay... habe mich echt verunsichert gefühlt -.-

Ich habe die ACL nicht erstellt.

Was ICMP ist weiß ich... Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste


Bin mir aber nicht ganz sicher was IP-basierter Traffic ist... Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?

Grüße
Bitte warten ..
Mitglied: aqui
23.02.2015 um 21:36 Uhr
Okay... habe mich echt verunsichert gefühlt -.-
Warum das denn ??
Ich habe die ACL nicht erstellt.
Was soll uns das jetzt sagen ?? Als Rechtfertigung das du einfach deinen Hausaufgaben nicht gemacht hast und mal das Handbuch oder die Cisco Accesslisten Anleitung gelesen hast ??
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-c ...
Was ICMP ist weiß ich...
Hört sich aber nach Art deiner Fragestellung zu urteilen nicht wirklich so an...sorry.
Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste
Ahem....ICMP hat gar keinen "Protocol Port" ! Oder was meinst du mit der ominösen Bezeichnung ??
Bin mir aber nicht ganz sicher was IP-basierter Traffic ist...
Das ist in der Regel natürlich alles was zur IP Protocol Suite gehört, aber der Cisco differenziert noch nach dem Protocol Typ also ob ICMP, ARP, TCP, UDP, ESP, GRE die nicht zum Typ 0x800 gehören. Die möchte er gern immer extra definieren
Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?
Oh doch ! Eine sehr große sogar ! Der Cisco ist hier sehr pedantisch wie sich das mal so gehört bei ACLs.
Aber alles was du eben nicht explizit angibst ignoriert er dann auch. ICMP und IP ist für ihn aber unterschiedlich, deshalb will er es genau wissen.
Wenn du ICMP nicht explizit angibst werden sie durch IP ACLs nicht erfasst, da anderer Protokoll Typ.
Bitte warten ..
Neuester Wissensbeitrag
Windows Update

Windows Update-Suche nach Win7 Neuinstallation wieder schneller

(2)

Erfahrungsbericht von the-buccaneer zum Thema Windows Update ...

Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
gelöst IP Kamera für drei unabhängige Netzwerke (16)

Frage von ProfessorZ zum Thema Router & Routing ...

Voice over IP
gelöst IP-Telefonie priorisieren nach 802.1p (9)

Frage von coltseavers zum Thema Voice over IP ...

Heiß diskutierte Inhalte
Hyper-V
gelöst Reiner Hyper- V Server oder lieber Rolle (22)

Frage von Winuser zum Thema Hyper-V ...

Exchange Server
gelöst Bestehende eMails autoamatisch weiterleiten (22)

Frage von metal-shot zum Thema Exchange Server ...

SAN, NAS, DAS
gelöst Synology Version 6.1 Probleme (18)

Frage von Hendrik2586 zum Thema SAN, NAS, DAS ...

Router & Routing
gelöst IP Kamera für drei unabhängige Netzwerke (16)

Frage von ProfessorZ zum Thema Router & Routing ...