Jump to content

Access-list und outbound


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Also auf einer PIX machst Du die Zugriffskontrolle komplett mit ACLS!!!!!

Dass ACLs nur den Inbound-Traffic regeln ist einfach FALSCH!!!!!!!! Man regelt natürlich den Traffic in beide Richtungen, man muss es nur konfigurieren.

 

Outbound und conduits waren mal aktuell, werden aber heute kaum bis gar nicht mehr genutzt. Eine ACLS liegt immer am jeweiligen Interface an und regelt den Verkehr.

 

Bei der PIX ist noch wichtig, dass man immer den Verkehr in irgendeiner Weise natten muss bzw. der PIX sagen muss, dass der Traffic nicht genattet werden muss. Dies macht man mit diversen Befehlen wie static, global, etc.

 

lg

 

Martin

Link zu diesem Kommentar

@ Martin:

... meine Literatur und meine PIX läßt mir nur eine Möglichkeit eine ACL an ein Interface anzubinden: in:

"pix(config)# access-group 123 in interface outside" als Beispiel,

"out" ist nicht möglich.

 

Und Du bist Dir sicher, dass sich diese ACL auch outbound anbinden läßt, wie im Cisco IOS ???

 

Gruss

Robert

Link zu diesem Kommentar

Hallo Robert!

 

Der Ansatz der PIX ist da etwas "anders":

 

Man gibt auf jedes Interface EINE Access-Liste. Diese wird für das dahinterliegende Netz genutzt. Wenn also jetzt Traffic von Inside ins Internet will, dann greift NUR die Access-Liste am Inside-Interface.

Wenn man nun Traffic aus dem Internet regeln will, macht man das mit einer Access-Liste die am Outside-Interface sitzt. Diese regelt den Traffic aus dem Internet (egal wo hin).

 

In Summe sind das aber zwei Accesslisten, die eben den Traffic regeln.

 

Alles klar? :)

 

LG

Martin

Link zu diesem Kommentar

Hallo Martin

 

sicher ist das bei der PIX anders: deshalb habe ich ja geschrieben, das man die ACL nur inbound auf die Interfaces bindet. Eine Packet das von "outside" nach "inside" unterwegs ist kann ANDERS ALS BEIM CISCO IOS nicht mehr von einer ACL am inside interface in outbound gefiltert werden.

 

Mit inbound und outbound ist doch die Richtung am Interface gemeint und nicht die Richtung des Traffic in der gesamten PIX.

Mal ernsthaft - ich erschrecke mich immer ein wenig, wenn jemand so direkt widerspricht und bin dann etwas in Sorge einen fehlerhaften Tip gegeben zu haben - aber ich finde in diesem Fall echt nicht den geringsten Hinweis das das Cisco FOS IP-PAckete am Interface outbound überprüft. Im Bezug auf ACLs ist bei Cisco eigentlich immer die Richtung am Interface gemeint - denke Ich. Bereite mich gerade auf CSPFA vor - habe noch mal alle ACL Kapitel gelesen - da gibts kein out ?!?!

 

Gruss

Robert

Link zu diesem Kommentar

Hallo!

 

Vielleicht haben wir aneinander vorbei gesprochen. Auf der PIX gibt es ja auch den Befehl "outbound" (hat man zusammen mit conduits verwendet).

 

Aber ehrlich gesagt, verwirrt mich Dein Ansatz komplett. Du hast ja in Deinem ersten Post gesagt, dass man auf der PIX nicht alles mit ACLs regelt. Dem habe ich widersprochen, denn man regelt definitiv alles mit ACLs. Die Befehle "outbound" (und danach wurde ja gefragt) wird einfach nicht mehr verwendet (so wie auch die conduits).

 

Wie willst Du denn auf der PIX sonst noch den Traffic kontrollieren?? Da gibt es NUR zwei Ansätze, die ACLs oder outbound/conduits (nicht mehr empfohlen!!!!), fertig.

 

 

Mir Ist klar, dass beim FeatureSet man mit Inbound/Outbound immer am Interface sitzt. Der Ansatz geht bei der PIX nicht wirklich. An und für sich, spricht man aber bei der PIX schon von der Richtung des Traffics.

 

Bei FeatureSet ist das sowieso alles komisch, da kann man ja auch mit der Quelle-Ziel-Angabe beim permit den Flow festlegen.

 

Ich habe schon Access-listen gesehen, die als IN am Interface definiert waren, aber trotzdem wurde via permit source dest der Flow umgedreht...Und das hat alles funktioniert....

 

Ich wollte Dir nicht auf die Füsse treten...Aber wie gesagt, mit ACLs regelt man definitiv alles auf der PIX..Und das war die Kernaussage....

 

lg

Martin

 

PS: Viel Erfolg für Deine Prüfung...ich kenne die Prüfung...sie ist etwas eigenartig....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...