-= Brummbär =- 10 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Hallo, Ich habe folgende Konstellation Client => 3750 => PIX => FTP-Server im Internet. Konfig in der PIX: access-list inside-i permit tcp any object-group FTP-Server eq ftp Konfig in 3750: permit tcp any host [iP_FTPServer] eq ftp => klappt nicht permit tcp any host [iP_FTPServer] => klappt Da ich passives FTP verwende müssen natürlich weitere Ports als Port 21 aufgemacht werden. Kann ich das auf dem 3750 trotzdem etwas einschränken oder fehlt dazu einfach die Firewallfunktionalität die dann die Zusammenhänge zwischen den Paketen erkennt. Ich stolper immer wieder über solche Unterschiede zwischen PIX und Router :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Der 3750 ist ein Switch und kein Router. Gilt die Regel generell fuer FTP oder ist das nur ein spezieller? Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Teilen Geschrieben 25. November 2008 Sorry. Meinte natürlich Switch. Nee. Die Clients sollen nur auf den FTP-Server von unserer Homepage kommen (feste IP). Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Dann erlaubst du entweder zu der IP die Highports oder versuchst die Portrange fuer Passive am FTP fest einzustellen (z.B. 2000-2050). Wenn die IP eh im Internet ist machts eigentlich nicht viel Sinn den Switch damit zu "belasten". Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 das wäre dann eien statefull Funktionalität die du verlangst. Lass den Switch in Ruhe switchen und mach die Security dort wo sie hingehört, auf der PIX Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Teilen Geschrieben 25. November 2008 Also mit den ACLs auf dem Switch nur interne Einschränkungen vornehmen und alles was nicht intern ist komplett erlauben und an der PIX filtern lassen? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Klar, wozu haste das Ding denn? Nicht das er mit paar Regeln nicht zurecht kommt, aber du bringst die ganze Struktur (sofern vorhanden) durcheinander. Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Teilen Geschrieben 25. November 2008 Die Clients sind in mehrere Subnetze aufgeteilt. Der Switch filter die Ports die die Clients an den Servern erreichen dürfen. Ich weiß. Eigentlich müsste ich dafür eine separate Firewall einsetzen, aber ich bin schon mal froh, dass ich einen Layer 3 Switch habe und eine Firewall für den internen Betrieb müsste ja schon etwas mehr Durchsatz können, oder? Nach außen kommt dann der PIX und davor ein Cisco Router. Dazwischen ist die DMZ. Ich glaube der Bereich müsste soweit in Ordnung sein. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. November 2008 Melden Teilen Geschrieben 25. November 2008 Hi, der Layer3 sollte eigentlich nur ganz einfache Regeln bearbeiten (Halte ich auch für Sinnvoll) - aber warum schreibst du das die FTP Regel nicht geht ? Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 27. November 2008 Autor Melden Teilen Geschrieben 27. November 2008 Hi, da ich nach außen passives FTP benutze, reicht eq ftp nicht aus, da der Switch nicht mitbekommt, dass das Öffnen der HighPorts mit zu der Anfrage gehört. Aber ich hab jetzt den Switch von der Aufgabe "entbunden" und prüfe erst an der PIX, ob ein Client per FTP raus darf. Da klappt es dann auch wieder mit eq ftp *freu* Besten Dank für die Postings. Manchmal macht man sich das Ganze einfach unnötig kompliziert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.