Cisco access-list

[Nexos 10]

Hi,

 

in der schule haben wir gerade mit access-list angefangen

als aufgaben haben wir folgendes bekommen (alles mit dem packet tracer)

 

2 root sind an einem switch der switch hängt an einem router der ist mit einem weiteren router verbunden der 2. router ist ebenfalls mit einem switch verbunden, wo ein server dranhängt.

 

der 1. host hat die ip 192.168.1.21

der 2. host hat die ip 192.168.1.22

der server die ip 192.168.2.21

 

jetzt soll am 2. router eine access-list eingerichtet werden, wo nur der host 1 auf das netz des servers zugreifen darf.

 

das netz hab ich eingerichtet ping test gemacht der server ist von beiden host erreichbar.

 

 

so jetzt zur access list

 

ich habe folgende befehle eingegeben:

access-list 1 permit 192.168.1.21 0.0.0.0
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

 

jetzt kann keiner der beiden host mehr auf den server zugreifen.

was hab ich falsch gemacht?

[xor 11]

Hallo,

 

ich kann mir deine Testumgebung nicht direkt bildlich vorstellen ;) Also kann ich dir nur allgemein sagen:

 

eine Standard Access-List musst du so weit wie möglich am Ziel angeben...

 

ein Deny Any brauchst du nicht, weil das allg. immer am Ende steht. Kannst du aber für dich selbst mit hinschreiben.

 

Beide Hosts können auch nicht zugreifen, weil du nur den ersten explizit durch die 0.0.0.0 wildcard Mask angegeben hast...

 

Mach mal zu Testzwecken das Netz der hosts frei... 192.168.1.0 0.0.0.255

 

Aber eigentlich sollte das so passen, wie Du es hast...

 

hast du denn "matches", wenn du ein sh access-lists machts, nachdem du mal das ziel gepingt hast?

 

mfg

[Otaku19 33]

fa0/0 geht Richtung Switch an dem der Server hängt ?

[xor 11]

fa0/0 geht Richtung Switch an dem der Server hängt ?

 

quasi so:

 

 

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

[Otaku19 33]

sollte hinhaun,bau es einfach via GNS3 nach evtl liegts am Packettracer

[Nexos 10]

ich habs so:

 

Die access-liste wende ich am Router 3 an

 

wenn ich das so mache:

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

 

es kann werder der Sys-Admin noch der Standard-User den Server

anpingen

 

aber mit access-list 1 permit 192.168.1.0 0.0.0.255

geb ich doch allen PCs im dem netz 192.168.1.0 die rechte auf den server zuzugreifen,

das soll aber nur der Admin können.

 

 

wenn ich folgendes anwende:

access-list 1 permit 192.168.1.21 0.0.0.0
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

 

hab ich 8 permit matches

und 7 deny maches

 

 

wenn ich meinem erste vorschlag aus dem ersten post anwende hab ich 2 deny matches

[collapse 10]

man man complicated boy's machts euch komplizierter wie es ist...

 

192.168.1.0/24 (hosts) -> Switch -> Fast 0/0 Router 1 Fast 0/1 -> Router -> Switch -> Server

 

Router 1

conft

 

ip access-list LAN_IN

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

deny ip any any

ip access-list LAN_OUT

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

deny ip any any

ip access-list WAN_IN

permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

deny ip any any

ip access-list WAN_OUT

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

deny ip any any

 

 

int fast 0/0

ip access-group LAN_IN

ip access-group LAN_OUT

 

int fast 0/1

ip access-group WAN_IN

ip access-group WAN_OUT

 

 

fals du den Zugang noch ein wenig Feiner Granulieren moechtest.

 

ziel nur http (80)

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

ziel RDP (3389)

permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 3389