darkness08
Goto Top

ACLs bei Cisco SG350

Hallo Zusammen,

ich versuche seit einiger Zeit meinen SG350 mittels ACLs abzusichern.

Bisheriger Aufbau:

VLAN 1, 172.16.1.0/24
VLAN 20 172.16.20.0/24
...
VLAN 60 172.16.60.0/24
VLAN 70 192.168.178.2

VLAN70 = internet mit Fritzbox


Soweit klappt alles. Routing ist global an.
Jetzt möchte ich gerne die VLANs gegeneinander abtrennen.

In einem ersten Versuch wollte ich den Zugriff auf VLAN1 nur aus dem VLAN40 zulassen.
Nachdem ich hier schon einige Beiträge gelsen habe, habe ich es so versucht:

ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255


und dem VLAN1 dann dotOne zugewiesen.

Mein Verständnis war jetzt so, dass der Traffic von VLAN40 inbound VLAN1 ist und somit die erste Regel Zutreffen sollte.
Also VLAN40 kann auf VLAN1 zugreifen, alle andern aber nicht.

Wo liegt denn hier mein Fehler?

Edit:

Oder muss ich noch ein permit any any anfügen. Aber ich wollte eigentlich alles verbieten und explizit erlauben?

Content-ID: 443412

Url: https://administrator.de/contentid/443412

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

brammer
brammer 21.04.2019 um 20:54:02 Uhr
Goto Top
Hallo,


Zu ACL's gab es hier schon mehrfach Beiträge

Wie sind den deine ip adressen in den jeweiligen VLAN's?

Brammer
darkness08
darkness08 22.04.2019 aktualisiert um 08:01:00 Uhr
Goto Top
Hey,

Konkretes Beispiel.

PC in VLAN40 (172.16.40.10) so Zugriff auf PC in VLAN 1 (172.16.1.1) haben. Die anderen VLANs habe ich erst mal nicht betrachtet.

ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255

so habe ich die ACL erstellt

Mein Verständnis ist, dass alles aus 172.16.40.0 Zugriff auf 172.16.1.0 hat

anschließend mittels
service-acl input dotOne default-action deny-any

an das VLAN 1 gebunden.

Danach habe ich aber keinen Zugriff von 172.16.40.10 auf die 172.16.1.1

Edit: VLAN1 hat die 172.16.1.254 und VLAN40 die 172.16.40.254
aqui
Lösung aqui 23.04.2019 aktualisiert um 17:14:35 Uhr
Goto Top
Mein Verständnis war jetzt so,
Was leider vollkommen falsch ist face-sad
Grundlage sind immer 2 Punkte:
  • ACL greifen nur inbound (bei besseren Modellen auch outbound) also eingehend am Layer 3 VLAN Interface
  • "vorne" steht die Source IP "hinten" die Destination IP
  • Es gilt wie bei Firewalls: "First match wins". Sprich der erste Hit in der ACL bewirkt das der Rest nicht mehr abgearbeitet wird.

Nehmen wir jetzt als Beispiel das die Traffic vom VLAN 1 ins VLAN 20 unterbinden willst aber VLAN 1 darf ins Internet:
Die ACL kommt also ans VLAN 1 Interface, Souce ist VLAN 1 IP und Destination VLAN 20 IP.
Folglich lautet die Regel:
ip access-list novlan20
deny ip 172.16.1.0 0.0.0.255 172.16.20.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 any

Sprich also:
  • Blocke alles was von 172.16.1.x kommt und als Ziel 172.16.20.x hat und
  • erlaube sonst alles von 172.16.1.x in die ganze Welt.
Fertisch !

Bei deinem Beispiel ist es richtig wenn du:
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
(deny any any) --> Ist immer Default

eingibst erlaubt das allen Traffic von Source 172.16.40.x ins vlan 1 (Destination) 172.16.1.x.
Allerdings ist es hier dann essentiell wichtig WO diese ACL aktiviert ist !!
an das VLAN 1 gebunden.
Und genau hier siehst du auch deinjen logischen Denkfehler.
Du hast diese ACL Liste aufs VLAN 1 gebunden. Dort soll diese Liste also alle Absender IP Adressen filtern die auf 172.16.40.x lauten und ins 172.16.1.x Netz gehen.
Wenn du jetzt nur selber ein klein wenig mal nachdenkst wirst du selber auch erkennen das diese Liste dort nie greifen kann, denn wie bitte sollen am VLAN 1 Interface jemals IP Pakete ankommen die eine .40.0er Absender IP haben ?
Bedenke hier das die ACL bei den einfachen SG Modellen rein nur inbound also eingehend ins Interface gelesen wird !
Nur die besseren Modelle haben auch eine outbound Option, die man aber besser nie nutzt wenn irgend möglich, da das immer über die CPU muss und Performance kostet.
Ausserdem ist es ja meist sinnfrei Pakete erst in den Switch zu lassen um sie dann im Ausgang wieder zu filtern. Wenn möglich also immer inbound ACLs nutzen! face-wink
Da ACLs inbound greifen sollten muss diese ACL dann logischerweise ans IP Interface von VLAN 40 !
Wenn du sie ans IP Interface von VLAN 1 konfiguriert kann es nie funktionieren, denn dort kommen ja wie bereits gesagt niemals Pakete an die eine Absender IP von .40.x haben. Diese Regel wäre dort also völlig sinnfrei.
Das ist vermutlich der fundamentale Denkfehler den du machst ?!
Pass das also an, dann klappt das auch sofort !
darkness08
darkness08 24.04.2019 um 12:03:44 Uhr
Goto Top
Ahh, ich glaube es hat klick gemacht ;)

Ich habe gedacht, dass Paket kommt vom VLAN40 zum VLAN1 und ist daher inbound VLAN1.
Aber ich muss also "in Richtung PC" gucken. Inbound heißt also irgendwo in den Switch rein kommen (sehr laienhaft ausgedrückt).

Werde später mal testen und berichten.

Danke.
aqui
aqui 24.04.2019 aktualisiert um 14:54:08 Uhr
Goto Top
Ahh, ich glaube es hat klick gemacht ;)
Na das hoffen wir mal... face-wink
Inbound heißt also irgendwo in den Switch rein kommen
Ja, ganz genau. Laienhaft ist hierbei völlig egal wenn es hilft die Logik dahinter zu verstehen. Also immer vom Netzwerk Draht IN das Interface hinein ist die ACL Sichtweise. Das gilt für alle Router FWs usw.
Werde später mal testen und berichten.
Wir sind gespannt...!