Frage zu ACLs

[xor 11]

Hallo,

 

ich bin gerade dabei mich über die ACLs zu belesen. Nur so richtig will es bei mir nicht funktionieren. Ich habe hier eine Testumgebung:

 

 

Nun will ich folgendes erreichen:

 

192.168.0.0/28 soll IP Zugriff auf 192.168.100.0/24 haben

 

192.168.100.128 soll IP Zugriff auf 192.168.0.1 und 192.168.0.11 haben

 

192.168.100.0/24 soll Kein IP Zugriff auf 192.168.0.0/28 haben

 

Ich habe mir das jetzt so hier gedacht:

 

### Router 1 192.168.0.0/28

## Interface e2/0 IN

access-list 101 permit ip 192.168.0.0 0.0.0.15 192.168.100.0 0.0.0.255
access-list 101 deny   ip any any

ip access-group 101 In

## Interface e2/0 Out

 

### Router 2 192.168.100.0/24

## Interface e0/0 IN

access-list 101 permit ip host 192.168.100.128 host 192.168.0.1
access-list 101 permit ip host 192.168.100.128 host 192.168.0.11
access-list 101 deny   ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.0.15
access-list 101 deny   ip any any

ip access-group 101 In

## Interface e0/0 Out

 

Habe ich dort einen Denkfehler? Ich denke, dass ich dass ich IN nehme, damit die Pakete nicht erst unnütz reroutet werden um dann am Ende abgewiesen zu werden.

 

Es gilt ja der Grundsatz:

 

Erweitert: nah an der Quelle

Normal: nah am Ziel

 

Ich danke schonmal im Vorraus für einen Vorschlag :)

 

Mfg xor

[Otaku19 33]

funktioniert so lange es nur Kommunikation zwischen 192.168.0.1/11 und 192.168.100.128 geben soll, das sind schließlich ACLs und keine statefull FW.

 

Sprich Pakete aus dem Netz 192.168.0.0/28 können zwar alle IP 192.168.100.0/24 erreichen, deren Antworten kommen aber nur dann durch wenn obige Bedingung erfüllt wurde.

[Gast X.X]

Hallo xor,

 

Soweit mir bekannt enthält jede Access-List per default (also automatiscH)

am Ende eine deny ip any any rule. Somit musst diese also nicht extra

zum Schluss hinzufügen. Diese default rule wird afaik auch nicht angezeigt.

 

Selbstverständlich kann man die default deny rule aufheben, indem man an

das Ende der Access-List bei bedarf permit ip any any hinzufügt.

 

Es greit also immer die Rule (von oben nach unten) aus der Access-List

die auch passend wäre. Setzt du als letzte Zeile in deiner Access-List keine

Permit Regel für den übrigen Traffic (ohne permit rule) wird dieser geblockt.

 

Sollte ich unsinn schreiben möge man mich korregieren - müsste richtig sein :)

[xor 11]

Hallo,

 

danke euch ;) Ich hab dann jetzt einiges noch im Inet gelesen und probiert und probiert.

 

Ich werd jetzt nicht mehr IP freigeben, sondern wirklich nur die Dienste, die auch freigegeben werden sollen.

 

Und am Ende wird ja eh deny any any angewendet, was ich mit hingeschrieben habe, weil ich nicht bedachte habe, dass beim show access-list das deny any any nicht mit erscheint :)

 

Wenn ich nun folgende Dienste freigeben will, habe ich alles dafür nötige aufgeführt?

 

HTTP: Port 80 TCP

Ping: ICMP Typ 0 und Typ 8

FTP: Port 20 TCP und Port 21 TCP

SSH: Port 22 TCP

DHCP: Port 68 UDP von 0.0.0.0 und Port 67 UDP an 255.255.255.255

 

Danke schonmal im Vorraus an die nette Hilfe :)

[Otaku19 33]

bei http wäre DNS und https noch nett ;)

 

Tipp: Cisco IOS kennt viele Protokolle "beim Namen", sprich du musst bei vielen Sachen nicht unbedingt die Portnummern in der ACL angeben sondern kannst eben zB einfach http schreiben. Wenn du den Port eingetragen hast wirds nachher sowieso auf den per default darauf gemappten Dienst umgeschrieben

Mit "sh ip port-map" kannst du dir anzeigen lassen welcher Port unter welchem Dienstnamen läuft.

 

 

ein deny any am ende hat 2 Vorteile:

man siehts gleich :) für jemanden der damit nicht so viel arbeitet nicht schlecht

fürs logging sofern man hinter der ACL noch log dazuschreibt. wobei eine deny any evtl recht schnell das log zumüllt, manchmal braucht mans aber

[xor 11]

Hallo,

 

ja das stimmt. DNS und HTTPS wären nett. :) Naja aber ich lerns besser, wenn ich die Ports usw kenne und somit Port 80 schreibe anstatt www ;)

 

HTTPS is ja standardmäßig Port 443 TCP. Wenn ich aber auf das Webinterface vom Server 2k3 zugreifen will, dann muss ich den passenden SSL Port auch noch zusätzlich freigeben?

 

Ps: sh ip port-map kennt mein IOS (IOS 3600 Software (C3640-I-M), Version 12.2(40)) nicht :eek:

 

Mfg xor

[Gast X.X]

Hi xor,

 

In deinem ACL Regelwerk hast du ja lediglich nur auf Basis von

Quell/Ziel IP gefiltert. Nimmt man deine ACL´s so wie oben gepostet,

dann erlaubst bzw blockst du entsprechend jeglichen IP Traffic.

 

Wie genau ist das mit deiner Frage zum Thema "Freigeben" gemeint?

Auf dem jeweiligen Client/Server im Netzwerk sind die entsprechenden

Dienste natürlich passsend zu aktivieren (wenn benötigt).

 

Diese ACL sollte imho jeglichen IP Traffic für alle Nodes/Rechner erlauben:

access-list 101 permit ip 192.168.0.0 0.0.0.15 192.168.100.0 0.0.0.255

 

IOS bietet dir natürlich noch weitere möglichkeiten zu Filtern.

 

R1(config)#access-list 101 permit ?

<0-255> An IP protocol number

ahp Authentication Header Protocol

esp Encapsulation Security Payload

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

igmp Internet Gateway Message Protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

pcp Payload Compression Protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

 

Würdest du z.B anstatt in deiner ACL die Protocol Angabe IP

durch TCP oder UDP ersetzen hättest du noch weitere optionen

zum Filtern. Du könntest also noch Spezielle Dienste filtern/blocken.

 

Ist dir das bereits bekannt (gewesen) ? Stelle sonnst deine Frage

doch bitte noch etwas genauer. Wüsste sonnst nicht was genau du meinst.

[xor 11]

Hallo,

 

ich habe mich nun dem Tipp angenommen, nicht den ganzen IP Zugriff zu erlauben, sondern nur bestimmte Dienste. Ich habe jetzt mal das ganze im Packet Tracer abgebildet (im Anhang hochgeladen - ACLs.zip). Ich habe zur Vereinfachung die IP Adressen ein wenig abgeändert, aber ist alles gut beschriftet.

 

Nun möchte ich folgendes:

 

- PING soll im ganzen Netzwerk funktionieren

- LAN1 soll auf SERVER2 HTTP Zugriff haben

- LAN2 soll auf SERVER1 HTTP Zugriff haben

- DNS soll im ganzen Netzwerk funktionieren (SERVER1 ist DNS-Server für das ganze Netzwerk)

 

Nun habe ich HTTP und PING hinbekommen. Nur DNS bekomme ich nicht zum laufen. Im Netz 192.168.0.0/28 klappt DNS, weil der DNS Server (SERVER1) im gleichen Netz ist. Aber im Netz 192.168.1.0/28 klappt DNS einfach nicht (PING funktioniert aber - also liegt es an der Auflösung der Namen in die IPs).

 

Es wäre nett, wenn mir jmd sagen könnte, wie die Regeln für den DNS Zugriff in diesem Netzwerk aussehen müssen. Ich weiß, dass DNS Port 53 TCP und UDP nutzt. Jedoch hat es bei mir trotzdem nicht funktioniert.

 

Ich habe in der Testumgebung keine Passwörter verwendet. Ihr könnt also gerne die Configs ansehen. Habe auch alles gut dokumentiert.

 

Ich bedanke mich schonmal im Vorraus.

 

Hier mal ein Vorrausbild zu der Testumgebung.

 

http://www.hostpix.de/090907/T7891o1V.JPG

 

Mfg xor

ACLs.zip

[Gast X.X]

Moin,

 

Also dieser Hostpix.de link geht bei mir nicht (warum auch immer).

Beim Datei-Angang steht "wartet auf Freischaltung" vermutlich um

zu verhindern das Dateien verbreitet werden die nicht hier angeboten

werden sollen. Ich glaube .txt Files sind direkt verfügbar ohne das

diese vom MCSE Board Admin freigeschaltet werden müssen.

 

Ich schaue später mal in deine Konfiguration(en) rein (sobald es möglich ist).

[xor 11]

Hallo,

 

das mit der Freischaltung der Anhänge wusste ich nicht :) Ich habe das mal eben auf meinen Webspace geladen. Hier kannst du es laden.

 

Das Bild oben muss man kopieren und manuell in die URL Zeile einfügen. Wer weiß, warum das so ist. Ich habe es mal in den

 gesetzt.

 

Danke schonmal im Vorraus, dass du dich meinem Problem annimmst :)

 

Mfg xor

[Gast X.X]

Hallo

 

Vorweg zur Information: Ich lerne bezüglich Access List´s selbst noch,

bin also unter umständen (noch) nicht die richtige Person :D

 

Den Packet Tracer habe ich aktuell nicht installiert. Im .pkt File war

der Inhalt wie auf http://www.hostpix.de/090907/T7891o1V.JPG'>http://www.hostpix.de/090907/T7891o1V.JPG - korrekt?

 

Die .jpg Grafik verwirrt mich ein wenig. Links heisst der Server "0" und rechts

server 1. Oben (mittig) ist die Rede von Server 1 und 2.

 

War im .pkt File eine neruere (korregierte) Version?

 

Sind Router 1 und Router 2 über das Internet miteinander Verbunden?

In LAN1 und LAN2 befinden sich jeweils nur 1 PC?

 

Auf deinem .jpg Bild sind keine Regeln für DNS. Du erlaubst hierbei nur

ICMP (z.B Ping) und http. Da wie schon erwähnt der Router automatisch

hinter jede Access-List eine deny any rule an das Ende setzt wird auch

DNS Traffic blockiert. Du müsstest also DNS Traffic zusätzlich freigeben.

 

Ich gehe hierbei nur vom Stand deines mir zur verfügung stehenden .jpg

files aus auf dem Host http://www.hostpix.de/090907/T7891o1V.JPG

[xor 11]

Hallo,

 

also die Router sind nicht an das Internet angeschlossen. Is ne normale serielle Verbindung :)

 

Wenn ich die ACLs weglasse, dann geht alles so, wie es soll. Ich habe nur der Überischt halber nur ein PC in das Netz gehangen ;) Is ja nich so viel Platz im Packet Tracer ;)

 

Du hast Recht mit den Bezeichnungen. Der linke Server ist SERVER1 und der rechte Server ist SERVER2. LAN1 und LAN2 sind die NETBIOS Namen von den Clients. Links ist Client LAN1 und rechts ist Client LAN2.

 

SERVER1: 192.168.0.1

LAN1: 192.168.0.2

 

SERVER2: 192.168.1.1

LAN2: 192.168.1.2

 

SERVER1 ist der DNS Server für beide Netze und der ist auch im linken und rechten Netz in den Netzwerkeinstellungen der Clients so eingestellt. Im linken Netz geht das DNS (muss ja nicht geroutet werden), aber im rechten Netz geht das DNS nicht (muss ja geroutet werden).

 

Also ich habe in der Doku nur die ACLs aufgeschrieben, die ich gerade anwende. Die ACLs für DNS habe ich also weggelassen, weil sie nicht funktionieren :( Ich habe mir erhofft, dass mir hier jmd diesbezüglich helfen kann :)

 

Ich werd das Bild gleich mal aktualisieren und dann mit dem alten ersetzen.

 

Danke schonmal

 

Mfg xor

 

//

 

Im Bild steht doch unter dem Server0 und Server1 der richtige Name mit der passenden IP ;) Das Server 0 und Server 1 wurde von Packt Tracer so hingeschrieben ;)

[Gast X.X]

Hallo,

 

Ich hab nur deshalb nachgefragt, weil lediglich nur eine Spezielle IP für

den http Zugriff auf die Webserver im Router erlaubt ist. Wären im LAN1

und LAN2 mehrere Clients (die Zugriff haben sollen) dann müsstest Du

entsprechend mehrere IPs oder gleich das ganze Subnetz freigeben.

 

Wäre LAN2 ein ClassC Netz (/24) und gehen wir davon aus, dass du dem

Netz Zugriff auf den Nameserver geben möchtest, könnte es so aussehen.

 

access-list 101 permit 53 192.168.1.0 0.0.0.255 host 192.168.0.1

 

.255 bezieht sich auf die Netzmarke /24 wenn ich nicht falsch liege.

Das solltest natürlich deinem Subnetz anpassen wenn nötig. Im IOS wird

das oft als "inverse mask" bereichnet. Kannst ja bei bedarf mal Googlen.

 

Die Regeln müssen ggf. auf beiden Routern aktiv sein. Ausnahme wäre nur

wenn Beispielsweise Router 2 keinen Traffic blocken würde.

[xor 11]

Hallo,

 

Danke Danke. Ich habe es jetzt alles hinbekommen, wie ich es brauchte.

 

Hier mal ein Bild, damit das vllt noch jmd sehen kann, der mal das gleiche braucht.

 

Klick

 

Habe wieder alles dokumentiert.

 

Mfg xor