Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ACLs bei Cisco SG350

Mitglied: darkness08

darkness08 (Level 1) - Jetzt verbinden

21.04.2019, aktualisiert 19:54 Uhr, 593 Aufrufe, 5 Kommentare

Hallo Zusammen,

ich versuche seit einiger Zeit meinen SG350 mittels ACLs abzusichern.

Bisheriger Aufbau:

VLAN 1, 172.16.1.0/24
VLAN 20 172.16.20.0/24
...
VLAN 60 172.16.60.0/24
VLAN 70 192.168.178.2

VLAN70 = internet mit Fritzbox


Soweit klappt alles. Routing ist global an.
Jetzt möchte ich gerne die VLANs gegeneinander abtrennen.

In einem ersten Versuch wollte ich den Zugriff auf VLAN1 nur aus dem VLAN40 zulassen.
Nachdem ich hier schon einige Beiträge gelsen habe, habe ich es so versucht:

ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255


und dem VLAN1 dann dotOne zugewiesen.

Mein Verständnis war jetzt so, dass der Traffic von VLAN40 inbound VLAN1 ist und somit die erste Regel Zutreffen sollte.
Also VLAN40 kann auf VLAN1 zugreifen, alle andern aber nicht.

Wo liegt denn hier mein Fehler?

Edit:

Oder muss ich noch ein permit any any anfügen. Aber ich wollte eigentlich alles verbieten und explizit erlauben?
Mitglied: brammer
21.04.2019 um 20:54 Uhr
Hallo,


Zu ACL's gab es hier schon mehrfach Beiträge

Wie sind den deine ip adressen in den jeweiligen VLAN's?

Brammer
Bitte warten ..
Mitglied: darkness08
22.04.2019, aktualisiert um 08:01 Uhr
Hey,

Konkretes Beispiel.

PC in VLAN40 (172.16.40.10) so Zugriff auf PC in VLAN 1 (172.16.1.1) haben. Die anderen VLANs habe ich erst mal nicht betrachtet.

01.
ip access-list extended dotOne
02.
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
so habe ich die ACL erstellt

Mein Verständnis ist, dass alles aus 172.16.40.0 Zugriff auf 172.16.1.0 hat

anschließend mittels
01.
service-acl input dotOne default-action deny-any
an das VLAN 1 gebunden.

Danach habe ich aber keinen Zugriff von 172.16.40.10 auf die 172.16.1.1

Edit: VLAN1 hat die 172.16.1.254 und VLAN40 die 172.16.40.254
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.04.2019, aktualisiert um 17:14 Uhr
Mein Verständnis war jetzt so,
Was leider vollkommen falsch ist
Grundlage sind immer 2 Punkte:
  • ACL greifen nur inbound (bei besseren Modellen auch outbound) also eingehend am Layer 3 VLAN Interface
  • "vorne" steht die Source IP "hinten" die Destination IP
  • Es gilt wie bei Firewalls: "First match wins". Sprich der erste Hit in der ACL bewirkt das der Rest nicht mehr abgearbeitet wird.

Nehmen wir jetzt als Beispiel das die Traffic vom VLAN 1 ins VLAN 20 unterbinden willst aber VLAN 1 darf ins Internet:
Die ACL kommt also ans VLAN 1 Interface, Souce ist VLAN 1 IP und Destination VLAN 20 IP.
Folglich lautet die Regel:
ip access-list novlan20
deny ip 172.16.1.0 0.0.0.255 172.16.20.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 any

Sprich also:
  • Blocke alles was von 172.16.1.x kommt und als Ziel 172.16.20.x hat und
  • erlaube sonst alles von 172.16.1.x in die ganze Welt.
Fertisch !

Bei deinem Beispiel ist es richtig wenn du:
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
(deny any any) --> Ist immer Default

eingibst erlaubt das allen Traffic von Source 172.16.40.x ins vlan 1 (Destination) 172.16.1.x.
Allerdings ist es hier dann essentiell wichtig WO diese ACL aktiviert ist !!
an das VLAN 1 gebunden.
Und genau hier siehst du auch deinjen logischen Denkfehler.
Du hast diese ACL Liste aufs VLAN 1 gebunden. Dort soll diese Liste also alle Absender IP Adressen filtern die auf 172.16.40.x lauten und ins 172.16.1.x Netz gehen.
Wenn du jetzt nur selber ein klein wenig mal nachdenkst wirst du selber auch erkennen das diese Liste dort nie greifen kann, denn wie bitte sollen am VLAN 1 Interface jemals IP Pakete ankommen die eine .40.0er Absender IP haben ?
Bedenke hier das die ACL bei den einfachen SG Modellen rein nur inbound also eingehend ins Interface gelesen wird !
Nur die besseren Modelle haben auch eine outbound Option, die man aber besser nie nutzt wenn irgend möglich, da das immer über die CPU muss und Performance kostet.
Ausserdem ist es ja meist sinnfrei Pakete erst in den Switch zu lassen um sie dann im Ausgang wieder zu filtern. Wenn möglich also immer inbound ACLs nutzen!
Da ACLs inbound greifen sollten muss diese ACL dann logischerweise ans IP Interface von VLAN 40 !
Wenn du sie ans IP Interface von VLAN 1 konfiguriert kann es nie funktionieren, denn dort kommen ja wie bereits gesagt niemals Pakete an die eine Absender IP von .40.x haben. Diese Regel wäre dort also völlig sinnfrei.
Das ist vermutlich der fundamentale Denkfehler den du machst ?!
Pass das also an, dann klappt das auch sofort !
Bitte warten ..
Mitglied: darkness08
24.04.2019 um 12:03 Uhr
Ahh, ich glaube es hat klick gemacht ;)

Ich habe gedacht, dass Paket kommt vom VLAN40 zum VLAN1 und ist daher inbound VLAN1.
Aber ich muss also "in Richtung PC" gucken. Inbound heißt also irgendwo in den Switch rein kommen (sehr laienhaft ausgedrückt).

Werde später mal testen und berichten.

Danke.
Bitte warten ..
Mitglied: aqui
24.04.2019, aktualisiert um 14:54 Uhr
Ahh, ich glaube es hat klick gemacht ;)
Na das hoffen wir mal...
Inbound heißt also irgendwo in den Switch rein kommen
Ja, ganz genau. Laienhaft ist hierbei völlig egal wenn es hilft die Logik dahinter zu verstehen. Also immer vom Netzwerk Draht IN das Interface hinein ist die ACL Sichtweise. Das gilt für alle Router FWs usw.
Werde später mal testen und berichten.
Wir sind gespannt...!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Unterschied Cisco SG350 und SG350x
Frage von SpartacusSwitche und Hubs15 Kommentare

Hallo, ich möchte mir in naher Zukunft einen Cisco SG350 (48Ports und POE+ 2 x SFP) Es gibt aber ...

DNS
Cisco SG350 und Hostname-Auflösung
gelöst Frage von fkerberDNS7 Kommentare

Hallo zusammen, vielleicht stehe ich einfach irgendwo auf dem Schlauch, aber ich sehe aktuell nicht so wirklich, wo. Kurz ...

Firewall
Cisco extended ACL
gelöst Frage von ImTRYINFirewall23 Kommentare

Hallo! Suche dringend hilfe beim implementieren einer ACL für einen Cisco Router. Situation: Implementieren Sie eine Extended ACL mit ...

LAN, WAN, Wireless
Kleine Fragen zum Cisco SG350-28
gelöst Frage von Basti-BerlinLAN, WAN, Wireless9 Kommentare

Hallo, auf kleinen Tip in anderem Beitrag erhielt ich den Schwenk, eher auf Cisco SG-250 oder 350 zu gehen, ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 41 MinutenOff Topic1 Kommentar

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...