Refnex 10 Geschrieben 24. Juli 2013 Melden Teilen Geschrieben 24. Juli 2013 (bearbeitet) Hallo @ all Ich denke die Cisco Cracks uter euch können mir sicher weiterhelfen. es geht um Folgendes: Ich habe hier ein SAP System Stehen wo der Zugriff auf geweisse Server per ACL beschränt werden soll. Es Handelt aber hierbei um Exreme Switches, Die ACL soll folgendermasen aussehen z.B. es sollen DNS abfragen aus dem Netz 10.50.0.0/24 auf 2 server mit der IP 10.0.1.12 und 10.0.1.13 erlaubt werden die Regle schaut nun folgendermasen aus entry Sap-to-DNS-DCs { if { source-address 10.50.0.0/24; destination-address 10.0.1.12/31; protocol tcp; source-port 1688; destination-port 1688; } then { permit; count DNS-DCs; } } geht das mit der Prefix angabe /31 da es sich hierbei laut RFC3021 nur für eine Point-to-Point verbindungen eraubt ist. oder ist das ne absolute vergewaltigung ? Abeer meiner meinung nach sollte es doch möglich sein da es bei einer ACL ja keine Broadcast und Netzadresse gibt oder ? Ich hoffe ihr versteht was ich meine sont einfach nochmal fragen ;-) Danke für eure hilfe bearbeitet 24. Juli 2013 von Refnex Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 24. Juli 2013 Melden Teilen Geschrieben 24. Juli 2013 natürlich kann man bei einer acl /31 verwenden, ist nicht unüblich. Damit werden dann eben genau die beiden IPs freigeschaltet 1 Zitieren Link zu diesem Kommentar
Refnex 10 Geschrieben 24. Juli 2013 Autor Melden Teilen Geschrieben 24. Juli 2013 super danke für deine Antwort, Ja üblich ist das nicht aber in meinem fall leider sonst nicht änderbar da ich sonst alle acl`s doppeld erstellen muss -,- und so spare ich mir doch etwas arbeit. Danke und nen Schönen nachmittag noch -closed Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 24. Juli 2013 Melden Teilen Geschrieben 24. Juli 2013 Denk dran das ganze gut zu dokumentieren wenn mal ein Kollege ran muss und sich fragt was das soll ;) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Juli 2013 Melden Teilen Geschrieben 25. Juli 2013 hm...doppelt verneint...das sollte heißen das man auf einer firewall zb tausender solche EInträge finden wird, zb auf unserer :) Wenn 2 Server die gleiche Aufgabe haben, dann bestehen wir sogar darauf das man das gleich bei der Planung der IP Adressen berücksichtigt. Dann schaltet man eben ein /31 irgendwohin frei, das ist auf der Firewall und auch auf einem Router performanter als 2 einzelne Zeilen mit den Host IP Adressen. Bei einer acl mit 4 Einträgen spielt das keine Rolen, wenn man mal 20k hat dann schon, multi CPU Firewall hin oder her. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.