Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Sonderhaftes Verhalten einer ACL auf einem Cisco Router

Mitglied: keksdieb

keksdieb (Level 1) - Jetzt verbinden

12.03.2013 um 11:02 Uhr, 1874 Aufrufe, 2 Kommentare

Ich hab auf unserem Cisco 1841 Router eine ACL, die den Traffic vom Produktiv-Netz zum Gastnetz unterbinden soll. Allerdings verhält sich die ACL etwas sonderbar...

Moin moin,

Zum Netzaufbau, ich habe ein Produktiv-Netz (192.168.0.0 /24) und ein Gastnetz (10.42.201.0/24), die über einen Router (Cisco 1841) verbunden sind.

Mittel ACL´s möchte ich nun den Traffic zwischen Produktiv und Gastnetz einschränken.

Auf dem Interface für das Gastnetz ist die ACL Customer-Lan eingebunden

01.
interface Vlan10 
02.
 description Customer-Lan-Interface 
03.
 ip address 10.42.201.2 255.255.255.0 
04.
 ip access-group Customer-Lan in 
05.
 ip nat inside 
06.
 ip virtual-reassembly
die ACL hat folgende Einträge:
01.
Extended IP access list Customer-Lan 
02.
    10 permit tcp any any established (12 matches) 
03.
    20 permit udp any any eq snmp log 
04.
    30 permit tcp any any eq 9100 log 
05.
    40 permit tcp 192.168.0.0 0.0.0.255 any eq www 
06.
    50 permit tcp 192.168.0.0 0.0.0.255 any eq 443 
07.
    60 permit tcp 192.168.0.0 0.0.0.255 any eq ftp 
08.
    70 permit tcp 192.168.0.0 0.0.0.255 any eq telnet 
09.
    80 deny ip any any log (690 matches)
Die Verbindung via HTTP funktioniert ins Gastnetz, allerdings verstehe ich nicht, warum die Hits auf der ACL nicht gezählt werden.
Möchte ich allerdings die Druckereinstellungen auf einem Drucker im Gastnetz aufrufen (von einem Windows PC), dann gibt das Log die Meldung
01.
000294: *Mar 12 10:30:08.477 CET: %SEC-6-IPACCESSLOGP: list Customer-Lan denied udp 10.42.201.113(161) -> 192.168.0.xxx(53655), 1 packet
Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.
Die Meldung im Log sagt aber, dass das ausgehende Paket (10.42.201.113) nicht ins Produktiv-Netz (192.168.0.xxx) darf.

Eventuell habt ihr ja eine Idee, ich steh mal wieder auf dem Schlauch :D

Gruß Keksdieb
Mitglied: dog
12.03.2013, aktualisiert um 13:17 Uhr
01.
interface Vlan10  
02.
 ip access-group Customer-Lan in 
Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.

Die arbeitet ja auch eingehend.
Nämlich auf alle Pakete, die am Interface Vlan10 eingehen.

Für Langsame: Traffic der in das Gastnetz will ist an Vlan10 natürlich ausgehend.
Bitte warten ..
Mitglied: keksdieb
12.03.2013, aktualisiert um 13:46 Uhr
Oh mein Gott...

gibt es nicht mehr zu zu sagen!
Viel Schlimmer ist, dass das Log genau das sagt und ich Depp den Wald inklusive Bäume nicht gesehen hab!

Vielen Dank dog und Asche auf mein Haupt!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco ACL Übungen Erklärung
Frage von Luzifer696Switche und Hubs3 Kommentare

Hallo, Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch. Ich habe am MI ...

Router & Routing
Cisco SG300: ACLs einrichten
gelöst Frage von caspi-pirnaRouter & Routing3 Kommentare

Hallo, ich habe einen Cisco SG300-10- Switch, welchen ich im L3-Routing-Modus betreibe und div. VLANs angelegt. Aktuell plane ich ...

Router & Routing
Routen zwischen den VLANs verhindern - ACL
gelöst Frage von Maik82Router & Routing11 Kommentare

Guten Tag, SWITCH Cisco SG300 /28 wie müsste eine ACL aussehen wenn ich 4 VLANS habe VLAN 100 - ...

Router & Routing
Cisco 866VAE-K9 ACL-Konfiguration
gelöst Frage von EnzephaloNRouter & Routing20 Kommentare

Hallo! Uns wurde gestern ein Cisco-Router eingerichtet. Der Techniker hatte aber anscheinend doch nicht sooo die Ahnung von der ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 14 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...