itlaie
Goto Top

Aufbau einer "DMZ" Cisco Packet Tracer

Hallo leute,

ich bin derzeit dabei ein Netzwerk im Packet Tracer aufzubauen und habe mit den ACL's so meine probleme.

Zum Aufbau:

Ich habe 3 Interne Netze und eine DMZ. Eines der Internen Netze gehört zur IT und soll vollen Zugriff auf alle Server der DMZ erhalten. Nun habe ich eine ACL geschrieben in der ich den Verkehr von der IT zur DMZ erlaube. Allerdings soll aus der DMZ keine Verbindung zum Internen Netz also auch zur IT bestehen.

Damit nun die IT auf alle Servere der DMZ Zugreifen kann habe ich folgende Regel impliziert, permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255.

Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum. Ich glaube ich habe einen Denkfehler.
Wenn ich dann aber auf der Router Schnittstelle zur DMZ eine Regel impliziere in der ich jeglichen Verkehr zum IT-Netz verbiete kann ich auch nicht mehr aus dem IT Netz auf die Server zugreifen.

Nun stellt sich mir die Frage wie kann ich meinen Plan umsetzen. Ich würde mich über Tipps und Ratschläge freuen. Eure Hilfe ist gern gesehen.
Die Konfiguration der beiden Router befindet sich unten.

Es existiert noch ein "Internet" Netz deshalb die web_only Regeln.


Vielen dank und Liebe Grüße.


hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524A61Z-
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
 description DMZ
 ip address 192.168.1.1 255.255.255.0
 ip access-group dmz_nolan in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
!
interface Serial0/0/0
 description LAN
 ip address 172.0.0.1 255.255.255.252
 clock rate 2000000
!
interface Serial0/0/1
 description Internet
 ip address 172.0.0.5 255.255.255.252
 ip access-group web_only in
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 passive-interface GigabitEthernet0/1
 network 192.168.1.0 0.0.0.255 area 0
 network 172.0.0.0 0.0.0.3 area 0
 network 172.0.0.4 0.0.0.3 area 0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended web_only
 permit tcp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.4 eq 443
 permit tcp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.4 eq www
 deny ip 80.80.0.0 0.0.255.255 10.10.1.0 0.0.2.255
 permit ip 172.0.0.4 0.0.0.3 any
 permit udp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.2 eq domain
ip access-list extended dmz_nolan
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!


----------------------------------------



!
hostname Router-LAN
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524088C-
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 10.10.1.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 10.10.2.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/0.30
 encapsulation dot1Q 30
 ip address 10.10.3.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 172.0.0.2 255.255.255.252
 ip access-group dmz_nolan in
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 passive-interface GigabitEthernet0/0
 passive-interface GigabitEthernet0/1
 network 10.10.1.0 0.0.0.255 area 0
 network 172.0.0.0 0.0.0.3 area 0
 network 10.10.2.0 0.0.0.255 area 0
 network 10.10.3.0 0.0.0.255 area 0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended lan
 permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
 permit ip 10.10.1.0 0.0.0.255 10.10.3.0 0.0.0.255
 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
 permit ip 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255
 permit ip 10.10.3.0 0.0.0.255 10.10.1.0 0.0.0.255
 permit ip 10.10.3.0 0.0.0.255 10.10.2.0 0.0.0.255
 permit tcp 10.10.2.0 0.0.0.255 host 192.168.1.5 eq ftp
 permit tcp 10.10.3.0 0.0.0.255 host 192.168.1.5 eq ftp
ip access-list extended dmz_nolan
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!

Content-Key: 1540705378

Url: https://administrator.de/contentid/1540705378

Printed on: June 25, 2024 at 22:06 o'clock

Member: aqui
aqui Nov 22, 2021 updated at 20:48:04 (UTC)
Goto Top
Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum.
Liegt vermutlich daran das du am DMZ Interface keine ACL definiert hast oder ?
Leider sieht man die ACL die du aktivierst hast in der Konfig nicht... face-sad
In deinen obigen Konfigs hast du an jedem Interface vergessen die "description" Zeile zu konfigurieren. face-sad Damit weiss hier kein Mensch WO dein DMZ Interface ist und wo dein Management Interface ist und kann nur im freien Fall raten... face-sad
Ich glaube ich habe einen Denkfehler.
Jau das denken wir auch... face-wink

Wenn die permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eine inbound ACL ist am DMZ Interface erlaubt die ja alle IP Connections vom Netzwerk 10.10.1.0 /24 ins Netz 192.168.1.0 /24
Das wäre auch eine falsche ACL wenn 10.10.1.0 /24 dein DMZ Netz ist.

Richtig wäre:
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq www established
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ssh established
deny ip 10.10.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.10.1.0 0.0.0.255 any


Das erlaubt dann nur DMZ Verbindungen als Rückroute die vom 192.168.1.0 initiiert wurden für HTTP und SSH z.B.
Verbietet dann VON der DMZ alles was in 192.168er Netze geht in der Annahme alle deine loaklen Netze sind im 192.168.x.y Bereich der privaten RFC 1918 IP Netze die man ja in der Regel verwendet !
und das permit any am Schluss erlaubt die Connection ins Internet.
Eigentlich doch kinderleicht... face-smile

Statt des Tracers ist der kostenlose GNS3 übrigens viel besser weil der originale IOS Images verwendet.
https://www.gns3.com
Member: ITLaie
ITLaie Nov 22, 2021 at 20:12:46 (UTC)
Goto Top
Moin, danke für die tolle hilfe!

Ich habe nun oben descriptions eingetragen. Mein 10er Netz ist das Interne LAN und die DMZ mit dem 192er und das Inet ist 80.80er.

den established kannte ich nicht vielen dank!
Member: aqui
aqui Nov 22, 2021 at 20:19:12 (UTC)
Goto Top
" Noch viel lernen du noch must, junger Padawan" würde Meister Yoda da sagen... face-wink
https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/23602-c ...
Member: ITLaie
ITLaie Nov 22, 2021 updated at 20:36:42 (UTC)
Goto Top
Ich glaube Packet Tracer nimmt established nicht :o, invalid input.

Diese Regeln habe ich eingetragen:

permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq established
deny ip 192.168.0.0 0.0.0.255 10.10.1.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 eq established any


Habe über den Link die Syntax gefunden und da ist bei "ip" kein established aufgeführt dafür aber beim tcp trotzdem kriege ich einen invalid input

permit tcp 192.168.1.0 0.0.0.255 eq established 10.10.1.0 0.0.0.255

Gruß
Member: aqui
aqui Nov 22, 2021 updated at 20:54:54 (UTC)
Goto Top
Sorry, oben vergessen ! Du musst natürlich noch den TCP Port (Dienst) mit angeben. Z.B. hier bei HTTP mit TCP 80:
cisco(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 10.10.1.1 0.0.0.255 eq www ?
  <0-65535>    Port number
  ack          Match on the ACK bit
  bgp          Border Gateway Protocol (179)
  chargen      Character generator (19)
  cmd          Remote commands (rcmd, 514)
  daytime      Daytime (13)
  discard      Discard (9)
  domain       Domain Name Service (53)
  drip         Dynamic Routing Information Protocol (3949)
  dscp         Match packets with given dscp value
  echo         Echo (7)
  established  Match established connections
  exec         Exec (rsh, 512) 
.... 
Diese Regeln habe ich eingetragen:
Das Regelwerk ist etwas blödsinnig, sorry.
Wenn dein DMZ IP Netz die 192.168.1.0 ist und die ACL inbound arbeitet, was ja am sinnigsten ist, (outbound ist immer Process switched in der CPU und kostet Performance) dann sind die Statements...
deny ip 192.168.0.0 0.0.0.255 ....
permit ip 192.168.0.0 0.0.0.255 ....

Ja irgendwie Quatsch, denn woher sollen den Inbound Pakete mit einer Source IP 192.168.0.x kommen wenn das Source Netz 192.168.1.x ist ??
Es können da doch dann logischerweise nur IPs mit 192.168.1.x als Source IP auftauchen.
Also in aller Ruhe nochmal das Regelwerk und dessen Logik überdenken ! face-wink
Member: ITLaie
ITLaie Nov 22, 2021 at 21:37:34 (UTC)
Goto Top
Ich bin komplett verwirrt.

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq www established - hat nicht funktioniert

Also ich habe es nun so gemacht:

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 established


Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.


Ich danke dir für deine Hilfe, mit mir hat man es nicht einfach...
Member: aqui
aqui Nov 23, 2021 at 14:52:09 (UTC)
Goto Top
Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.
Der Satz ist im hinteren Teil etwas unverständlich und es ist unklar was du meinst... Vermutlich das der Zugriff nun auf rein TCP basierte Dienste limitiert ist, richtig ?
Wenn ja hast du recht. Das ist dem Umstand geschuldet das ACLs bekanntlich nicht stateful sind wie es eine Firewall ist.
Aber dafür hat Cisco ja eine einfache onboard Lösung mit IOS oder IOS-XE mit der CBAC oder der ZFW Firewall die das dann problemlos umsetzt.
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV