Icmp

[monk 10]

hallo,

 

wie kann ich den icmp bzw den ping auf einen Catalsyst 2900XL switch unterbinden, so das dieser nicht angepingt werden kann, jedoch er selber pingen kann!?

[Elstevo 10]

eine Access-list erstellen für eingehenden datenverkehr und dort ICMP auf 'deny' setzen

 

Gruss

 

Steve

[monk 10]

wie mach ich das genau?

 

 

Switch(config)#access-list 1 deny ?

Hostname or A.B.C.D Address to match

any Any source host

host A single host address

[mtf 10]

interface ether0

 

ip access-group 100 in

 

Access-list 100 permit icmp any 192.168.0.1 echo-reply

Access-list 100 deny icmp any 192.168.0.1

Access-list 100 permit ip any any

 

das sollte so reichen.

 

 

mfg mtf

[Wurstbläser 10]

... bitte nicht "int eth0" pingen -

das Management-VLAN hat eine IP nicht der Switchport!

Also "int vlan0" als Berispiel ...

 

Gruss

Robert

[monk 10]

int vlan 1 ist klar

 

trotzdem funktioniert die conif von mtf nicht!

 

das netz 192.168.0.0 darf folgendes netz nicht anpingen 192.168.1.0... hab s mit folgendem befehl probiert:

 

Access-list 100 deny icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply

Access-list 100 permit icmp any any

Access-list 100 permit ip any any

 

 

wieso muss den das "ip" auch freigegeben werden?

[Wurstbläser 10]

... jede acl hat am Ende ein implizites "deny ip any any" ... sonst würde der gesamte IP-Verkehr blockiert.

 

... normale ACLs funktionieren aber nur auf einem Layer3-Interface. Die Lösung aus Beitrag 4 wäre also eine für Router.

Wenn Du ACLs innerhalb eines VLANs einsetzen wills - ein Host soll z.B. nicht die Management-IP des switches pingen dürfen - müstest Du eh VACLs einsetzen (VLAN-ACLs). z.B. CP-Buch zu BCMSN Kapitel 20.

 

Oder wie von Cisco empfohlen das Management-VLAN von den anderen Netzten/VLANs trennen.

 

Gruss

Robert