ingram333 10 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Hallo Community! Bin absoluter Neuling was CISCO Hardware angeht und bekomme leider die ACL's nicht richtig auf die Reihe... Mein Problem: Ich habe einen CISCO Catalyst 3650 auf dessen 24 Ports alle möglichen Server und Clients angschlossen sind. An Port 21 befindet sich ein CISCO WLAN-Access Point der nur Zugriff auf den Port 24 haben soll (Firewall+Internet), aber auf keinen der anderen... der Rest soll beliebig miteinander kommunizieren dürfen, es geht also nur darum alles von diesem einen Port auf Internet zu beschränken ohne das ein LAN Zugriff möglich ist. Meine Frage: Wie genau müssten die ACL aussehen die sagen: 1) Erlaube für Port 21 (WLAN) nur Zugriff auf Port 24 (FW) 2) Verbiete alle anderen Ports für Verbindungen von Port 21 (WLAN) 3) Rest darf beliebig kommunizieren Meine bisherigen Versuche die ACL einzustellen hatten nur zu Folge das ich den Switch jedesmal "reseten" musste da ich mich selbst ausgesperrt habe... Vielen Dank für eure Zeit Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Wieso machst du fuer WLAN nicht ein eigenes VLAN und IP-Netz? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Oder das hier: Catalyst 3560 Switch Software Configuration Guide, Rel. 12.2(50)SE - Configuring Port-Based Traffic Control [Cisco Catalyst 3560 Series Switches] - Cisco Systems Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 Hallo Wordo und Danke erstmal für deine Antwort. Vlt. mach ich mich jetzt lächerlich, aber ich dachte immer eine Komponente und ein Gateway müssen im selben IP-Bereich liegen, oder? Also z.B. mein WLAN hat derzeit die IP 192.168.0.246 und meine FW 192.168.0.1... wie geht das wenn WLAN einen anderen Adressbereich hat? Die IP zu ändern wäre etwas kompliziert, da u.a. ein Monitoringserver auf das WLAN zugreift und SNMP Daten holt... falls es nicht anders geht muss ich mir was einfallen lassen, aber mir wäre lieber einfach eine Beschränkung der Ports zu definieren (wenn das wiederum überhaupt so geht wie ich mir das denke). Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Ich hatte eher an eine zweite NIC in der Firewall gedacht, darueber wird dann das Netz separiert. Waere jedenfalls sauberer als mit ACL's auf dem Switch rumzuspielen. Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 NIC auf FW sind alle drei belegt leider... Zusatz: oder geht es vielleicht auch einfach auf IP ebene wie ein Paketfilter? Also sowas wie: access-list 102 permit tcp host 192.168.0.245 host 192.168.0.1 access-list 103 permit udp host 192.168.0.245 host 192.168.0.1 access-list 104 deny any host 192.168.0.245 any Geht aber leider nicht :( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Das sind ja auch 3 verschiedene ACL's :) Nimm dir das mal als Beispiel: http://www.mcseboard.de/cisco-forum-allgemein-38/asa-acl-159188.html Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 ah ok, ja das hatte ich nur falsch abgetippt... ich hab es nun mit folgenden (extended ip-)ACLs versucht die nach üblichen Paketfilterregeln eigentlich gehen müssten, aber wenn ich die aktiviere und mich über WLAN verbinde, habe ich überhaupt keinen Zugriff auf irgendwas mehr (auch nicht das gateway). Was ist an denen hier falsch? permit tcp host 192.168.0.245 host 192.168.0.1 permit udp host 192.168.0.245 host 192.168.0.1 permit icmp host 192.168.0.245 host 192.168.0.1 deny tcp host 192.168.0.245 any deny udp host 192.168.0.245 any deny icmp host 192.168.0.245 any In einem Paketfilter wäre die Hierachie so richtig denke ich, gilt das so nicht für ACLs? Weiß der Router was "stateful filtering" ist? Oder muss ich jetzt auch von der FW zum WLAN zurück die Regeln schreiben (also sowas dazu wie: "permit tcp 192.168.0.1 host 192.168.0.245") Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Wenn du surfst verbindest du dich auf die Firewall? Macht die Proxy? Gibts nur eine IP (245) im WLAN? Normalerweise verbietest du von 245 auf komplettes Netz selbst, den Rest erlauben. Das wiederum bindest du Inbound auf dem SVI. Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 ahhhhh danke, ich glaub jetzt hast du mich auf einen Denkfehler gebracht! Die IP von dem WLAN Interface ist zwar die 192.168.0.245, aber wenn sich jemand damit verbindet, behält er ja trotzdem seine eigene IP im DHCP Bereich... also sind die ausgehenden Verbindungen vom Client ja gar nicht zwingend von 0.245 sondern von der IP des Clients... richtig? Dann wäre auch klar, warum meine ACLs nicht funktionieren, weil der Router gar keine Anfragen von der IP bekommt... Sollte es so sein, kann ich aber eigentlich nur noch das mit den Ports machen, oder? Also sinvoll filtern ist ja so kaum möglich (kann ja schlecht alle DHCP Adressen da reinhacken). Hätte nie gedacht das das so kompliziert ist. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Normalerweise macht man als DHCP auch eine Range die sich perfekt mit einer Netzadresse abdecken laesst: Bsp: 192.168.0.0/24 Netzwerk Wlan Range: 192.168.0.128 - 255 = 192.168.0.128 / 25 Kannst dann mit einer ACL abdecken. Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 hmmm ja die Range hier ist sehr seltsam definiert (mit Lücken zwischendrin und Ausnahmen), ich denke die müsste ich fast mal neu machen... Frage, was wäre wohl sinvoller/einfach: 1) Die DHCP Range anzupassen und es über ACLs versuchen 2) Die Sache mit den Ports (wobei ich das nicht ganz verstehe was in dem Link von dir geschrieben steht). Denke am einfachsten wäre in meinem Fall doch die Kommunikation von Port 23 auf Port 21 und zurück zu beschränken, oder? Wie sehen die cmd's dafür genau aus? In dem Link den du gepostet hast finde ich was über Secure Ports und beschränkung der MAC, aber nichts wie man von Port zu Port beschränkt... Danke noch mal für deine Hilfe! Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Vergiss das mit den Protected Ports ... Sag mir einfach die Scope von DHCP dann schreib ichs dir schnell zam ... Zitieren Link zu diesem Kommentar
ingram333 10 Geschrieben 30. November 2009 Autor Melden Teilen Geschrieben 30. November 2009 Hi Wordo, vielen Dank für deine Hilfe, der DHCP Scope wäre 192.168.0.20 - 192.168.0.99 Mit ein paar Rservierungen dabei, aber ich denke die könnte ich umstellen auf IPs die nicht in diesem Bereich liegen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. November 2009 Melden Teilen Geschrieben 30. November 2009 ip access-list 102 deny ip 192.168.0.20 0.0.0.3 192.168.0.0 0.0.0.255 ip access-list 102 deny ip 192.168.0.24 0.0.0.3 192.168.0.0 0.0.0.255 ip access-list 102 deny ip 192.168.0.28 0.0.0.3 192.168.0.0 0.0.0.255 ip access-list 102 deny ip 192.168.0.32 0.0.0.31 192.168.0.0 0.0.0.255 ip access-list 102 deny ip 192.168.0.64 0.0.0.31 192.168.0.0 0.0.0.255 ip access-list 102 deny ip host 192.168.0.96 192.168.0.0 0.0.0.255 ip access-list 102 deny ip host 192.168.0.97 192.168.0.0 0.0.0.255 ip access-list 102 deny ip host 192.168.0.98 192.168.0.0 0.0.0.255 ip access-list 102 deny ip host 192.168.0.99 192.168.0.0 0.0.0.255 ip access-list 102 permit ip any any Die ein oder andere koennte man noch einsparen, is nur so auf die Schnelle .. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.