Nov 22, 2021, updated at 20:07:55 (UTC)

4710

Aufbau einer "DMZ" Cisco Packet Tracer

Hallo leute,

ich bin derzeit dabei ein Netzwerk im Packet Tracer aufzubauen und habe mit den ACL's so meine probleme.

Zum Aufbau:

Ich habe 3 Interne Netze und eine DMZ. Eines der Internen Netze gehört zur IT und soll vollen Zugriff auf alle Server der DMZ erhalten. Nun habe ich eine ACL geschrieben in der ich den Verkehr von der IT zur DMZ erlaube. Allerdings soll aus der DMZ keine Verbindung zum Internen Netz also auch zur IT bestehen.

Damit nun die IT auf alle Servere der DMZ Zugreifen kann habe ich folgende Regel impliziert, permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255.

Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum. Ich glaube ich habe einen Denkfehler.
Wenn ich dann aber auf der Router Schnittstelle zur DMZ eine Regel impliziere in der ich jeglichen Verkehr zum IT-Netz verbiete kann ich auch nicht mehr aus dem IT Netz auf die Server zugreifen.

Nun stellt sich mir die Frage wie kann ich meinen Plan umsetzen. Ich würde mich über Tipps und Ratschläge freuen. Eure Hilfe ist gern gesehen.
Die Konfiguration der beiden Router befindet sich unten.

Es existiert noch ein "Internet" Netz deshalb die web_only Regeln.

Vielen dank und Liebe Grüße.

hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524A61Z-
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
 description DMZ
 ip address 192.168.1.1 255.255.255.0
 ip access-group dmz_nolan in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
!
interface Serial0/0/0
 description LAN
 ip address 172.0.0.1 255.255.255.252
 clock rate 2000000
!
interface Serial0/0/1
 description Internet
 ip address 172.0.0.5 255.255.255.252
 ip access-group web_only in
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 passive-interface GigabitEthernet0/1
 network 192.168.1.0 0.0.0.255 area 0
 network 172.0.0.0 0.0.0.3 area 0
 network 172.0.0.4 0.0.0.3 area 0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended web_only
 permit tcp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.4 eq 443
 permit tcp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.4 eq www
 deny ip 80.80.0.0 0.0.255.255 10.10.1.0 0.0.2.255
 permit ip 172.0.0.4 0.0.0.3 any
 permit udp 80.80.0.0 0.0.255.255 gt 1024 host 192.168.1.2 eq domain
ip access-list extended dmz_nolan
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!


----------------------------------------



!
hostname Router-LAN
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2911/K9 sn FTX1524088C-
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 10.10.1.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 10.10.2.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/0.30
 encapsulation dot1Q 30
 ip address 10.10.3.1 255.255.255.0
 ip helper-address 192.168.1.3
 ip access-group lan in
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 172.0.0.2 255.255.255.252
 ip access-group dmz_nolan in
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
!
interface Vlan1
 no ip address
 shutdown
!
router ospf 1
 log-adjacency-changes
 passive-interface GigabitEthernet0/0
 passive-interface GigabitEthernet0/1
 network 10.10.1.0 0.0.0.255 area 0
 network 172.0.0.0 0.0.0.3 area 0
 network 10.10.2.0 0.0.0.255 area 0
 network 10.10.3.0 0.0.0.255 area 0
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended lan
 permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
 permit ip 10.10.1.0 0.0.0.255 10.10.3.0 0.0.0.255
 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
 permit ip 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255
 permit ip 10.10.3.0 0.0.0.255 10.10.1.0 0.0.0.255
 permit ip 10.10.3.0 0.0.0.255 10.10.2.0 0.0.0.255
 permit tcp 10.10.2.0 0.0.0.255 host 192.168.1.5 eq ftp
 permit tcp 10.10.3.0 0.0.0.255 host 192.168.1.5 eq ftp
ip access-list extended dmz_nolan
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!

Please also mark the comments that contributed to the solution of the article

Content-Key: 1540705378

Url: https://administrator.de/contentid/1540705378

Printed on: April 25, 2024 at 04:04 o'clock

7 Comments

Latest comment

Ich kann aus der IT auf alle Server Zugreifen nur leider auch anders herum.

Liegt vermutlich daran das du am DMZ Interface keine ACL definiert hast oder ?
Leider sieht man die ACL die du aktivierst hast in der Konfig nicht...

In deinen obigen Konfigs hast du an jedem Interface vergessen die "description" Zeile zu konfigurieren.

Damit weiss hier kein Mensch WO dein DMZ Interface ist und wo dein Management Interface ist und kann nur im freien Fall raten...

Ich glaube ich habe einen Denkfehler.

Jau das denken wir auch...

Wenn die permit ip 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eine inbound ACL ist am DMZ Interface erlaubt die ja alle IP Connections vom Netzwerk 10.10.1.0 /24 ins Netz 192.168.1.0 /24
Das wäre auch eine falsche ACL wenn 10.10.1.0 /24 dein DMZ Netz ist.

Richtig wäre:
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq www established
permit tcp 10.10.1.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ssh established
deny ip 10.10.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.10.1.0 0.0.0.255 any

Das erlaubt dann nur DMZ Verbindungen als Rückroute die vom 192.168.1.0 initiiert wurden für HTTP und SSH z.B.
Verbietet dann VON der DMZ alles was in 192.168er Netze geht in der Annahme alle deine loaklen Netze sind im 192.168.x.y Bereich der privaten RFC 1918 IP Netze die man ja in der Regel verwendet !
und das permit any am Schluss erlaubt die Connection ins Internet.
Eigentlich doch kinderleicht...

Statt des Tracers ist der kostenlose GNS3 übrigens viel besser weil der originale IOS Images verwendet.
https://www.gns3.com

Moin, danke für die tolle hilfe!

Ich habe nun oben descriptions eingetragen. Mein 10er Netz ist das Interne LAN und die DMZ mit dem 192er und das Inet ist 80.80er.

den established kannte ich nicht vielen dank!

" Noch viel lernen du noch must, junger Padawan" würde Meister Yoda da sagen...

https://www.cisco.com/c/de_de/support/docs/security/ios-firewall/23602-c ...

Ich glaube Packet Tracer nimmt established nicht :o, invalid input.

Diese Regeln habe ich eingetragen:

permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq established
deny ip 192.168.0.0 0.0.0.255 10.10.1.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 eq established any

Habe über den Link die Syntax gefunden und da ist bei "ip" kein established aufgeführt dafür aber beim tcp trotzdem kriege ich einen invalid input

permit tcp 192.168.1.0 0.0.0.255 eq established 10.10.1.0 0.0.0.255

Gruß

Sorry, oben vergessen ! Du musst natürlich noch den TCP Port (Dienst) mit angeben. Z.B. hier bei HTTP mit TCP 80:

cisco(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 10.10.1.1 0.0.0.255 eq www ?
  <0-65535>    Port number
  ack          Match on the ACK bit
  bgp          Border Gateway Protocol (179)
  chargen      Character generator (19)
  cmd          Remote commands (rcmd, 514)
  daytime      Daytime (13)
  discard      Discard (9)
  domain       Domain Name Service (53)
  drip         Dynamic Routing Information Protocol (3949)
  dscp         Match packets with given dscp value
  echo         Echo (7)
  established  Match established connections
  exec         Exec (rsh, 512) 
.... 

Diese Regeln habe ich eingetragen:

Das Regelwerk ist etwas blödsinnig, sorry.
Wenn dein DMZ IP Netz die 192.168.1.0 ist und die ACL inbound arbeitet, was ja am sinnigsten ist, (outbound ist immer Process switched in der CPU und kostet Performance) dann sind die Statements...
deny ip 192.168.0.0 0.0.0.255 ....
permit ip 192.168.0.0 0.0.0.255 ....
Ja irgendwie Quatsch, denn woher sollen den Inbound Pakete mit einer Source IP 192.168.0.x kommen wenn das Source Netz 192.168.1.x ist ??
Es können da doch dann logischerweise nur IPs mit 192.168.1.x als Source IP auftauchen.
Also in aller Ruhe nochmal das Regelwerk und dessen Logik überdenken !

Ich bin komplett verwirrt.

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 eq www established - hat nicht funktioniert

Also ich habe es nun so gemacht:

permit tcp 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255 established

Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.

Ich danke dir für deine Hilfe, mit mir hat man es nicht einfach...

Das Problem ist somit habe ich aber kein Vollzugriff vom LAN auf die DMZ, wieder nurnoch auf die einzelnen Dienste.

Der Satz ist im hinteren Teil etwas unverständlich und es ist unklar was du meinst... Vermutlich das der Zugriff nun auf rein TCP basierte Dienste limitiert ist, richtig ?
Wenn ja hast du recht. Das ist dem Umstand geschuldet das ACLs bekanntlich nicht stateful sind wie es eine Firewall ist.
Aber dafür hat Cisco ja eine einfache onboard Lösung mit IOS oder IOS-XE mit der CBAC oder der ZFW Firewall die das dann problemlos umsetzt.
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

German Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments