Cisco ACL Rückweg

[-= Brummbär =- 10]

Hallo,

 

Das Gerät ist ein Cisco 3750. Clients & EDV-PCs sind in unterschiedlichen Subnetzen. Die Clients sollen nur bestimmte Ports ins Subnetz der EDV-PCs nutzen dürfen um Verbindungen aufzubauen. Aber wenn ich mit einem EDV-PC eine Verbindung zu einem Client aufbaue (z.B. VNC über TCP 5900), dann möchte ich, dass der Rückweg natürlich erlaubt ist. Zumindest bei TCP-Verbindungen müsste das doch gehen. Oder muss ich mich von meiner PIX-Denke noch weiter verabschieden :-(

 

Gibt es eine Möglichkeit die ACL so anzupassen, dass die Rückwege automatisch erlaubt werden?

[rob_67 10]

Hi,

 

 

die Rückpakete werden automatisch erlaubt, wenn du deine ACL nur einseitig bindest also out auf dem wan interface...(keine zusätzliche in auf dem gleichen if)

 

 

gruss

 

 

rob

[-= Brummbär =- 10]

Ich habe die ACL auf dem Interface der Clients inbound angebunden. Damit wollte ich erreichen, dass die Pakete nicht erst unnötig geroutet werden. Am Interface der EDV-PCs ist permit ip any any. Das sollte dann also nicht das Problem sein.

 

Nur warum funktioniert das dann nicht :-(

[Wordo 11]

Du gibst bei der Inbound ACL noch "established" mit an. Aber das bisschen geroute verbraucht weniger Ressourcen wie eine ACL ...

[-= Brummbär =- 10]

Hallo Wrodo,

 

Das funktioniert. Merci dafür.

 

Wie würdest du denn die Regeln definieren? Irgendwo muss ja letztlich der Traffic geblockt oder nicht gerouted werden, den ich nicht ins andere Subnetz haben möchte.

[Wordo 11]

Wahrscheinlich genauso, kenn deine Konfiguration nicht. Wollte nur deutlich machen das der Router bei ACLs mehr "schwitzen" muss als beim Routing

[-= Brummbär =- 10]

Ah. Ok.

 

Na dann kann ich ja so mit den ACLs weiter machen.

 

Danke für die Hilfe. Ich bin mal gespannt, wann ich das nächste Mal ins Straucheln komme.