Aufbau einer "DMZ" Cisco Packet Tracer

Mitglied: ITLaie
Hallo leute,

ich bin derzeit dabei ein Netzwerk im Packet Tracer aufzubauen und habe mit den ACL's so meine probleme.

Zum Aufbau:

Ich habe 3 Interne Netze und eine DMZ. Eines der Internen Netze gehört zur IT und soll vollen Zugriff auf alle Server der DMZ erhalten. Nun habe ich eine ACL geschrieben in der ich den Verkehr von der IT zur DMZ erlaube. Allerdings soll aus der DMZ keine Verbindung zum Internen Netz also auch zur IT bestehen.

Damit nun die IT auf alle Servere der DMZ Zugreifen kann habe ich folgende Regel impliziert, permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255.

Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum. Ich glaube ich habe einen Denkfehler.
Wenn ich dann aber auf der Router Schnittstelle zur DMZ eine Regel impliziere in der ich jeglichen Verkehr zum IT-Netz verbiete kann ich auch nicht mehr aus dem IT Netz auf die Server zugreifen.

Nun stellt sich mir die Frage wie kann ich meinen Plan umsetzen. Ich würde mich über Tipps und Ratschläge freuen. Eure Hilfe ist gern gesehen.
Die Konfiguration der beiden Router befindet sich unten.

Es existiert noch ein "Internet" Netz deshalb die web_only Regeln.


Vielen dank und Liebe Grüße.





Content-Key: 1540705378

Url: https://administrator.de/contentid/1540705378

Ausgedruckt am: 04.12.2021 um 12:12 Uhr

Mitglied: aqui
aqui 22.11.2021 aktualisiert um 21:48:04 Uhr
Goto Top
Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum.
Liegt vermutlich daran das du am DMZ Interface keine ACL definiert hast oder ?
Leider sieht man die ACL die du aktivierst hast in der Konfig nicht... :-( face-sad
In deinen obigen Konfigs hast du an jedem Interface vergessen die "description" Zeile zu konfigurieren. :-( face-sad Damit weiss hier kein Mensch WO dein DMZ Interface ist und wo dein Management Interface ist und kann nur im freien Fall raten... :-( face-sad
Ich glaube ich habe einen Denkfehler.
Jau das denken wir auch... ;-) face-wink

Wenn die permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eine inbound ACL ist am DMZ Interface erlaubt die ja alle IP Connections vom Netzwerk 10.10.1.0 /24 ins Netz 192.168.1.0 /24
Das wäre auch eine falsche ACL wenn 10.10.1.0 /24 dein DMZ Netz ist.

Richtig wäre:
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq www established
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ssh established
deny ip 10.10.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.10.1.0 0.0.0.255 any


Das erlaubt dann nur DMZ Verbindungen als Rückroute die vom 192.168.1.0 initiiert wurden für HTTP und SSH z.B.
Verbietet dann VON der DMZ alles was in 192.168er Netze geht in der Annahme alle deine loaklen Netze sind im 192.168.x.y Bereich der privaten RFC 1918 IP Netze die man ja in der Regel verwendet !
und das permit any am Schluss erlaubt die Connection ins Internet.
Eigentlich doch kinderleicht... :-) face-smile

Statt des Tracers ist der kostenlose GNS3 übrigens viel besser weil der originale IOS Images verwendet.
https://www.gns3.com
Mitglied: ITLaie
ITLaie 22.11.2021 um 21:12:46 Uhr
Goto Top
Moin, danke für die tolle hilfe!

Ich habe nun oben descriptions eingetragen. Mein 10er Netz ist das Interne LAN und die DMZ mit dem 192er und das Inet ist 80.80er.

den established kannte ich nicht vielen dank!
Mitglied: aqui
aqui 22.11.2021 um 21:19:12 Uhr
Goto Top
" Noch viel lernen du noch must, junger Padawan" würde Meister Yoda da sagen... ;-) face-wink
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/23602-c ...
Mitglied: ITLaie
ITLaie 22.11.2021 aktualisiert um 21:36:42 Uhr
Goto Top
Ich glaube Packet Tracer nimmt established nicht :o, invalid input.

Diese Regeln habe ich eingetragen:

permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq established
deny ip 192.168.0.0 0.0.0.255 10.10.1.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 eq established any


Habe über den Link die Syntax gefunden und da ist bei "ip" kein established aufgeführt dafür aber beim tcp trotzdem kriege ich einen invalid input

permit tcp 192.168.1.0 0.0.0.255 eq established 10.10.1.0 0.0.0.255

Gruß
Mitglied: aqui
aqui 22.11.2021 aktualisiert um 21:54:54 Uhr
Goto Top
Sorry, oben vergessen ! Du musst natürlich noch den TCP Port (Dienst) mit angeben. Z.B. hier bei HTTP mit TCP 80:
> Diese Regeln habe ich eingetragen:
Das Regelwerk ist etwas blödsinnig, sorry.
Wenn dein DMZ IP Netz die 192.168.1.0 ist und die ACL inbound arbeitet, was ja am sinnigsten ist, (outbound ist immer Process switched in der CPU und kostet Performance) dann sind die Statements...
deny ip 192.168.0.0 0.0.0.255 ....
permit ip 192.168.0.0 0.0.0.255 ....

Ja irgendwie Quatsch, denn woher sollen den Inbound Pakete mit einer Source IP 192.168.0.x kommen wenn das Source Netz 192.168.1.x ist ??
Es können da doch dann logischerweise nur IPs mit 192.168.1.x als Source IP auftauchen.
Also in aller Ruhe nochmal das Regelwerk und dessen Logik überdenken ! ;-) face-wink
Mitglied: ITLaie
ITLaie 22.11.2021 um 22:37:34 Uhr
Goto Top
Ich bin komplett verwirrt.

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq www established - hat nicht funktioniert

Also ich habe es nun so gemacht:

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 established



Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.


Ich danke dir für deine Hilfe, mit mir hat man es nicht einfach...
Mitglied: aqui
aqui 23.11.2021 um 15:52:09 Uhr
Goto Top
Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.
Der Satz ist im hinteren Teil etwas unverständlich und es ist unklar was du meinst... Vermutlich das der Zugriff nun auf rein TCP basierte Dienste limitiert ist, richtig ?
Wenn ja hast du recht. Das ist dem Umstand geschuldet das ACLs bekanntlich nicht stateful sind wie es eine Firewall ist.
Aber dafür hat Cisco ja eine einfache onboard Lösung mit IOS oder IOS-XE mit der CBAC oder der ZFW Firewall die das dann problemlos umsetzt.
Guckst du hier:
https://administrator.de/tutorial/cisco-880-890-und-isr-router-konfigura ...
Heiß diskutierte Beiträge
question
Hausüberwachung Kameraingo1988Vor 1 TagFragePeripheriegeräte8 Kommentare

Hallo an alle, ich möchte ab sofort mein Haus mit Kameras überwachen lassen. Es sollen 4 Kameras außen am Haus angebracht werden. Ich möchte die ...

question
3 VLANs auf eine Dose. PC bekommt IP vom falschen NetzKostasVor 1 TagFrageNetzwerke6 Kommentare

Hallo Zusammen, ich habe an einem Arbeitsplatz leider NUR eine Dose. Das VLAN=10 ist für die Drucker Das VLAN=20 ist für die PCs Das VLAN=30 ...

question
Hard- und SoftwarebeschaffungVigo16Vor 1 TagFrageHardware8 Kommentare

Hallo Zusammen, da ich kürzlich in einem gemeinnützige Verein als erster und alleiniger Inhouse Administrator angefangen habe und vorher nichts mit Hard- und Softwarebeschaffung am ...

general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 18 StundenFrageE-Mail13 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Reicht eine Geforce GT1030 2GB 64bit für Photoshop Illustrator?isarc01Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hallo, ich habe derzeit eine Geforce GTX 550 TI. (192bit) 1,5GB. Leider startet Photoshop nicht mehr. (Grafikkartenspeicher zu gering) Deshalb möchte ich mir eine GT1030 ...

question
Startscript wird nicht ausgeführt gelöst tsunamiVor 1 TagFrageWindows Server4 Kommentare

Hallo zusammen, ich habe ein Problem mit den GPOs. Ein simples Script zum testen: Liegt im richtigen Ordner. \\domäne.local\SysVol\domäne.local\Policies\{FB0087ED-7767-4A9E-B9D4-9497666F2C7E}\Machine\Scripts\Startup Der Ordner \\192.168.143.1\public\11_Software\AV\av_lang\ hat Zugriff durch ...