Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Packet-tracer zum testen einer ACL ip

Frage Sicherheit Firewall

Mitglied: haiqualle

haiqualle (Level 1) - Jetzt verbinden

23.02.2015 um 12:31 Uhr, 790 Aufrufe, 5 Kommentare

Hi,

wie teste ich den Durchgang:

access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0

Meine Idee:

packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0

Das Problem:

Es gibt eine ACL die ICMP any any erlaubt

diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...

Aber wie teste die das ganze ??

Mitglied: aqui
23.02.2015 um 13:20 Uhr
Oder der Klassiker GNS3 geht auch, denn damit kannst du dir original ACL konfigurieren:
http://www.gns3.com
Es gibt eine ACL die ICMP any any erlaubt
Gut...wo ist hier jetzt die Frage ? ICMP ist nicht IP !! Weisst du ja vermutlich selber
show access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Das liegt aber an dir selber ! Du musst natürlich ein,al ICMP Test verwenden (Ping, Traceroute etc.) und die andere Liste eben mit IP. Da nimmst du dann Telnet. HTTP oder sowas. Wo ist also dein Problem ?
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 13:55 Uhr
...

Mir ist nicht ganz klar, was die ACL erlaubt ?!

Wie ist der genaue Befehl zum prüfen einer ACL ip ?

Vielen Dank
Bitte warten ..
Mitglied: aqui
23.02.2015, aktualisiert um 19:00 Uhr
Mir ist nicht ganz klar, was die ACL erlaubt ?!
Solltest du aber wenn DU die ACL erstellt hast ?!?
Eine ICMP ACL betrifft einzig und allein ICMP Traffic, eine IP ACL betrifft allen IP basierten Traffic....ganz einfach !!

Beispiel:
deny ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
permit any any

Verbietet z.B. alles was einen Absender IP mit 10.x.x.x hat und als Zieladresse was mit 10.1.1.x hat und erlaubt den gesamten Rest.
Umgedreht:
permit ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Erlaubt nur Pakete hier mit einer Absender IP von 10.x.x.x hat und als Zieladresse 10.1.1.x hat und verbietet den gesamten Rest ( deny any any ist immer Default am Ende einer "permit" ACL
Bei "icmp" gelten die Regel dann eben halt nur für ICMP Traffic, denn wie jeder Netzwerker weiss ist ICMP ein eigenes Protokoll !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Bitte warten ..
Mitglied: haiqualle
23.02.2015 um 19:16 Uhr
Okay... habe mich echt verunsichert gefühlt -.-

Ich habe die ACL nicht erstellt.

Was ICMP ist weiß ich... Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste


Bin mir aber nicht ganz sicher was IP-basierter Traffic ist... Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?

Grüße
Bitte warten ..
Mitglied: aqui
23.02.2015 um 21:36 Uhr
Okay... habe mich echt verunsichert gefühlt -.-
Warum das denn ??
Ich habe die ACL nicht erstellt.
Was soll uns das jetzt sagen ?? Als Rechtfertigung das du einfach deinen Hausaufgaben nicht gemacht hast und mal das Handbuch oder die Cisco Accesslisten Anleitung gelesen hast ??
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-c ...
Was ICMP ist weiß ich...
Hört sich aber nach Art deiner Fragestellung zu urteilen nicht wirklich so an...sorry.
Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste
Ahem....ICMP hat gar keinen "Protocol Port" ! Oder was meinst du mit der ominösen Bezeichnung ??
Bin mir aber nicht ganz sicher was IP-basierter Traffic ist...
Das ist in der Regel natürlich alles was zur IP Protocol Suite gehört, aber der Cisco differenziert noch nach dem Protocol Typ also ob ICMP, ARP, TCP, UDP, ESP, GRE die nicht zum Typ 0x800 gehören. Die möchte er gern immer extra definieren
Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?
Oh doch ! Eine sehr große sogar ! Der Cisco ist hier sehr pedantisch wie sich das mal so gehört bei ACLs.
Aber alles was du eben nicht explizit angibst ignoriert er dann auch. ICMP und IP ist für ihn aber unterschiedlich, deshalb will er es genau wissen.
Wenn du ICMP nicht explizit angibst werden sie durch IP ACLs nicht erfasst, da anderer Protokoll Typ.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Packet Tracer und RIP BUG?
Frage von ProtectedRouter & Routing3 Kommentare

Hallo, ich habe ein Netz aufgebaut, auf jedem Router ist RIP konfiguriert. Dies funktioniert auch. das Problem ist allerdings, ...

Schulung & Training
Download Cisco Packet Tracer
gelöst Frage von teret4242Schulung & Training2 Kommentare

Moin, gibt es eine Möglichkeit, sich den Cisco Packet Tracer kostenlos herunterzuladen, ohne dafür Cisco-Partner oder bei irgendeiner Cisco-Academy ...

Netzwerkgrundlagen
IP Trace lesen
Frage von schrodtiNetzwerkgrundlagen10 Kommentare

Hallo, kann mir bitte Jemand erklären, wie ein IP Trace zu lesen ist? Ich stehe irgendwie total auf dem ...

Batch & Shell
Windows Ereignisse Tracen und automatisieren?
gelöst Frage von Xanathos57Batch & Shell11 Kommentare

Hallo Administratoren, das ist mein erster Post in eurem Forum, also seid mir nicht böse falls iirgendwas nicht passt ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 5 StundenErkennung und -Abwehr1 Kommentar

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...