Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Packet-tracer zum testen einer ACL ip

Frage Sicherheit Firewall

Mitglied: haiqualle

haiqualle (Level 1) - Jetzt verbinden

23.02.2015 um 12:31 Uhr, 692 Aufrufe, 5 Kommentare

Hi,

wie teste ich den Durchgang:

access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0

Meine Idee:

packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0

Das Problem:

Es gibt eine ACL die ICMP any any erlaubt

diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...

Aber wie teste die das ganze ??

Mitglied: aqui
23.02.2015 um 13:20 Uhr
Oder der Klassiker GNS3 geht auch, denn damit kannst du dir original ACL konfigurieren:
http://www.gns3.com
Es gibt eine ACL die ICMP any any erlaubt
Gut...wo ist hier jetzt die Frage ? ICMP ist nicht IP !! Weisst du ja vermutlich selber
show access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Das liegt aber an dir selber ! Du musst natürlich ein,al ICMP Test verwenden (Ping, Traceroute etc.) und die andere Liste eben mit IP. Da nimmst du dann Telnet. HTTP oder sowas. Wo ist also dein Problem ?
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 13:55 Uhr
...

Mir ist nicht ganz klar, was die ACL erlaubt ?!

Wie ist der genaue Befehl zum prüfen einer ACL ip ?

Vielen Dank
Bitte warten ..
Mitglied: aqui
23.02.2015, aktualisiert um 19:00 Uhr
Mir ist nicht ganz klar, was die ACL erlaubt ?!
Solltest du aber wenn DU die ACL erstellt hast ?!?
Eine ICMP ACL betrifft einzig und allein ICMP Traffic, eine IP ACL betrifft allen IP basierten Traffic....ganz einfach !!

Beispiel:
deny ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
permit any any

Verbietet z.B. alles was einen Absender IP mit 10.x.x.x hat und als Zieladresse was mit 10.1.1.x hat und erlaubt den gesamten Rest.
Umgedreht:
permit ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Erlaubt nur Pakete hier mit einer Absender IP von 10.x.x.x hat und als Zieladresse 10.1.1.x hat und verbietet den gesamten Rest ( deny any any ist immer Default am Ende einer "permit" ACL
Bei "icmp" gelten die Regel dann eben halt nur für ICMP Traffic, denn wie jeder Netzwerker weiss ist ICMP ein eigenes Protokoll !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 19:16 Uhr
Okay... habe mich echt verunsichert gefühlt -.-

Ich habe die ACL nicht erstellt.

Was ICMP ist weiß ich... Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste


Bin mir aber nicht ganz sicher was IP-basierter Traffic ist... Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?

Grüße
Bitte warten ..
Mitglied: aqui
23.02.2015 um 21:36 Uhr
Okay... habe mich echt verunsichert gefühlt -.-
Warum das denn ??
Ich habe die ACL nicht erstellt.
Was soll uns das jetzt sagen ?? Als Rechtfertigung das du einfach deinen Hausaufgaben nicht gemacht hast und mal das Handbuch oder die Cisco Accesslisten Anleitung gelesen hast ??
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-c ...
Was ICMP ist weiß ich...
Hört sich aber nach Art deiner Fragestellung zu urteilen nicht wirklich so an...sorry.
Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste
Ahem....ICMP hat gar keinen "Protocol Port" ! Oder was meinst du mit der ominösen Bezeichnung ??
Bin mir aber nicht ganz sicher was IP-basierter Traffic ist...
Das ist in der Regel natürlich alles was zur IP Protocol Suite gehört, aber der Cisco differenziert noch nach dem Protocol Typ also ob ICMP, ARP, TCP, UDP, ESP, GRE die nicht zum Typ 0x800 gehören. Die möchte er gern immer extra definieren
Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?
Oh doch ! Eine sehr große sogar ! Der Cisco ist hier sehr pedantisch wie sich das mal so gehört bei ACLs.
Aber alles was du eben nicht explizit angibst ignoriert er dann auch. ICMP und IP ist für ihn aber unterschiedlich, deshalb will er es genau wissen.
Wenn du ICMP nicht explizit angibst werden sie durch IP ACLs nicht erfasst, da anderer Protokoll Typ.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst IP Cam außen am Haus Zugriff sichern über Firewall ACL (6)

Frage von TimMayer zum Thema Switche und Hubs ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

DNS
gelöst Sophos UTM9 - FTP nur über IP erreichbar (4)

Frage von PronMaster zum Thema DNS ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...