Cyco 10 Geschrieben 29. Juli 2009 Melden Teilen Geschrieben 29. Juli 2009 Hallo! Ich habe hier gerade ein Verständnisprob. mit diesen ganzen ACL's. Wir haben bei uns in der Firma so ein schickes 6500 Teil wo man virtuelle Layer3 Schnittstellen definieren kann. Jetzt gibts zu jedem Interface eine "access-group" für INcomming. Erstes Codebeispiel. Bedeutet...lasse alles rein und filtere rauszus's. interface Vlan122 description Vl122 MEINE ip address 10.1.122.1 255.255.255.0 ip access-group inacl-122 in no ip redirects no ip proxy-arp ip policy route-map rm122 no shutdown no ip access-list extended inacl-122 ip access-list extended inacl-122 permit ip any 10.1.122.0 0.0.0.255 ! permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255 permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255 Würde das genauso funktionieren, wenn ich das Ganze als OUT konfiguriere? interface Vlan122 description Vl122 MEINE ip address 10.1.122.1 255.255.255.0 ip access-group out_acl-122 out no ip redirects no ip proxy-arp ip policy route-map rm122 no shutdown no ip access-list extended out_acl-122 ip access-list extended out_acl-122 permit ip any 10.1.122.0 0.0.0.255 ! permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255 permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255 Meiner Meinung nach ist das IN und OUT doch völlig äquivalent oder sehe ich das falsch? Im IN - Fall würde das Paket schon beim Empfang gefiltert werden (ohne quasi die Schnittstelle zu durchlaufen => bildlich gesehen) und im OUT - Fall würde das Paket erstmal durch die Schnittstelle geleitet werden und kurz vor dem Senden gefiltert werden?! Könntet ihr mich mal bitte diesbezüglich aufklären? Vielen Dank Zitieren Link zu diesem Kommentar
AmericanJesus 10 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Hi, du musst dir die ACL aus der Sicht des Routers vorstellen. Hängt das Netz 10.1.122.0 VOR oder HINTER dem Router (der Schnittstelle) ? Dementsprechend musst du auch die ACL entweder auf inbound oder outbound setzen. permit ip SOURCE DESTINATION Die Sicht auf die Source und die Destination ändert sich ja je nach Sichtweise ... LG, Christian Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 die in wird dazu führen das niemand aus dem netz 10.1.122.0/24 irgendwo anders hin kann...eher schlecht würde ich sagen. Die out lässt nur Pakete zu die für das verbundene Netz bestimmt sind, also das was der router sowieso macht. Ausser er bekommt via Routingprotokoll/statisch mitgeteilt das über dieses Interface noch andere Netze erreichbar sind...die sind es dann dank der ACL nicht :) Zitieren Link zu diesem Kommentar
Cyco 10 Geschrieben 30. Juli 2009 Autor Melden Teilen Geschrieben 30. Juli 2009 Hallo! Das mit dem VOR oder DAHINTER ist doch eigentlich nur Ansichtssache?! Dann nochmal ein Bsp. was ich mal so ähnlich in einem Buch gesehen habe. 10.1.3.0/24 ====== |eht1-Router-eht0|====== 10.1.4.0/24 <----------- Komminikationsrichtung -------- Angenommen ich möchte jetzt allen Rechner im 10.1.4.0/24 Netz verbieten, mit dem 10.1.3.0/24 zu kommunizieren. 1. Jetzt könnte ich an "eth0" eine ACL für IN 'ODER' an "eth1" eine ACL für OUT definieren. Sollte beides gehen bzw. sieht ganz logisch aus?! 2. Eigentlich sollte doch aber auch folgendes funktionieren. => eth0 als OUT ACL 'ODER' eth1 als IN ACL Das bedeutet doch eigentlich auch nix anderes, dass eingehender Traffic erst du den Routingprozess geht, bevor die ACL von "eth0" das Paket verwirft, bevor es intern an "eth1" geschoben wird. Die bedeutende Frage in diesem Bsp ist, ob im Router interner Traffic welcher von eth0 zu eth1 geschoben wird als OUTgoing gedeutet wird und mit Fall von eth1 dann als INcomming? Hoffe ich habs ned zu verwirrend beschrieben! Danke Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 naja,. 2 ist unsinn, auf eth1 IN könntest du nur pakete filtern die von 10.1.3.0/24 (oder dahinter liegenden Netzen) kommen...also Antwortpakete auf Pakete die von 10.1.4.0/24 gehen...irgendwie Quatsch, oder ? Die allgemeine Empfehlung ist, extended ACLs (also welche wo man source+destination angibt) so nah wie möglich an der Quelle platziert um unnötige Paketverarbeitungen zu vermeiden, das beispiel hier würde man also so lösen: ip access-list extended blabla deny ip 10.1.4.0 0.0.0.255 10.1.3.0 0.0.0.255 permit ip any any (in der Annahme das 10.1.4.0 wo anders hin darf) int e0 ip access-group rofl in Was nicht heisst das man manchmal davon abweicht und auch in diesem Fall auf eth 1 die ACL out bindet. Je nachdem wo man mehr Aufwand hat Kommt jetzt vielleicht **** rüber...aber wer arbeitet auf ner fetten Kiste wie einem 6500er und hat keine Ahnung wie ACLs funktionieren ? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 30. Juli 2009 Melden Teilen Geschrieben 30. Juli 2009 Hallo, das mit dem "Davor" oder "Dahinter" ist bestimmt keine Ansichtssache - auch mit dem "in" und "out" - musst einfach vergessen - das du nen Switch hast - und dir nen Router nehmen - das mit dem IN auf dem Interface kontrolliert die Pakete die auf dem Interface rein kommen - und die Out - die Pakete die auf dem Interface raus gehen. Und bei nem Switch kannst du das auf nen Interface oder auf ein VLAN legen (vlan betrifft alle Ports die dazugehören). So schwer ist das doch garnicht - ist aber nicht Cisco Spezifisch - das match die ganze EDV Welt so. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.