Bekannte Netze mit Distance 1 routen, Rest mit Distance 2 ins Blackhole?
Hi,
folgende Situation:
Ich habe verschiedene 192.168.x.0/24-Netze im Einsatz, sagen wir 192.168.1.0/24 bis 192.168.10.0/24. Diese Netze sind alle direkt an einen zentralen Router angeschlossen, welcher in jedem Netz eine Gateway-IP hat und zwischen den Netzen routet. Zusätzlich sind die Netze 192.168.50.0/24 bis 192.168.60.0/24 über einen 2. Router erreichbar. Die Routen dorthin sind statisch im zentralen Router eingetragen.
Als Default-Route ist im zentralen Router die Gateway-IP meiner Firewall eingetragen, also die Route ins Internet. Ich möchte jetzt allerdings vermeiden, dass der zentrale Router Pakete für z.B. 192.168.90.0/24 unnützerweise an die Firewall sendet, da er dieses Netz nicht kennt. Da es ja vorhersehbar ist, dass die Firewall mit diesen Paketen auch nichts anfangen kann möchte ich unnütze Load auf der Firewall vermeiden.
Die oben genannten Routen in die direkt angeschlossenen Netze und in die Netze die über den 2. Router erreichbar sind, sind alle mit einer administrativen Distanz 1 konfiguriert. Ich habe mir jetzt überlegt, dass ich auf dem Zentralrouter eine Blackhole- bzw. Reject-Route nach 192.168.0.0/16 mit einer administrativen Distanz von 2 (oder höher) einrichte. Davon erwarte ich mir das der Router alle Pakete in die vorhandenen Netze über die jeweilige Route mit der Distanz 1 sendet und die Pakete für die nicht vorhandenen Netze via der /16-Route mit der Distanz 2 verwirft, weil er keine andere Route in diese Netze hat.
Habe ich mir das richtig vorgestellt, oder habe ich hier irgendwo einen Denkfehler drin???
Viele Grüße,
MIchl
folgende Situation:
Ich habe verschiedene 192.168.x.0/24-Netze im Einsatz, sagen wir 192.168.1.0/24 bis 192.168.10.0/24. Diese Netze sind alle direkt an einen zentralen Router angeschlossen, welcher in jedem Netz eine Gateway-IP hat und zwischen den Netzen routet. Zusätzlich sind die Netze 192.168.50.0/24 bis 192.168.60.0/24 über einen 2. Router erreichbar. Die Routen dorthin sind statisch im zentralen Router eingetragen.
Als Default-Route ist im zentralen Router die Gateway-IP meiner Firewall eingetragen, also die Route ins Internet. Ich möchte jetzt allerdings vermeiden, dass der zentrale Router Pakete für z.B. 192.168.90.0/24 unnützerweise an die Firewall sendet, da er dieses Netz nicht kennt. Da es ja vorhersehbar ist, dass die Firewall mit diesen Paketen auch nichts anfangen kann möchte ich unnütze Load auf der Firewall vermeiden.
Die oben genannten Routen in die direkt angeschlossenen Netze und in die Netze die über den 2. Router erreichbar sind, sind alle mit einer administrativen Distanz 1 konfiguriert. Ich habe mir jetzt überlegt, dass ich auf dem Zentralrouter eine Blackhole- bzw. Reject-Route nach 192.168.0.0/16 mit einer administrativen Distanz von 2 (oder höher) einrichte. Davon erwarte ich mir das der Router alle Pakete in die vorhandenen Netze über die jeweilige Route mit der Distanz 1 sendet und die Pakete für die nicht vorhandenen Netze via der /16-Route mit der Distanz 2 verwirft, weil er keine andere Route in diese Netze hat.
Habe ich mir das richtig vorgestellt, oder habe ich hier irgendwo einen Denkfehler drin???
Viele Grüße,
MIchl
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135857
Url: https://administrator.de/contentid/135857
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Nein ! Du kannst doch CIDR Masken benutzen was deine Firewall problemlos supporten sollte !!
Die Firewall wird ja niemals RFC 1918 Netze ins Internet routen.
Du konfigurierst schlicht und einfach wie dog oben schon erwähnt hat eine Inbound Regel mit der du alle RFC_1918_IP_Netze (Private IPs) ganz simpel blockst !!!
In Cisco Access Listen Nomenklatur gesprochen sähe eine ACL für alle privaten IPs dann so aus:
access-list 110 deny ip any 10.0.0.0 0.255.255.255
access-list 110 deny ip any 172.16.0.0 0.15.255.255
access-list 110 deny ip any 192.168.0.0 0.0.255.255
Analog übernimmst du das für deine FW am eingehenden Ethernet Interface und schon hat diese Ruhe vor diesen IP Netzen !!
Noch besser wäre es diese Liste am zentralen Router am Interface wo deine FW hängt zu implementieren, dann kommen diese Pakete gar nicht erst an der FW an
Einfacher gehts ja nun wirklich nicht...!
Die Firewall wird ja niemals RFC 1918 Netze ins Internet routen.
Du konfigurierst schlicht und einfach wie dog oben schon erwähnt hat eine Inbound Regel mit der du alle RFC_1918_IP_Netze (Private IPs) ganz simpel blockst !!!
In Cisco Access Listen Nomenklatur gesprochen sähe eine ACL für alle privaten IPs dann so aus:
access-list 110 deny ip any 10.0.0.0 0.255.255.255
access-list 110 deny ip any 172.16.0.0 0.15.255.255
access-list 110 deny ip any 192.168.0.0 0.0.255.255
Analog übernimmst du das für deine FW am eingehenden Ethernet Interface und schon hat diese Ruhe vor diesen IP Netzen !!
Noch besser wäre es diese Liste am zentralen Router am Interface wo deine FW hängt zu implementieren, dann kommen diese Pakete gar nicht erst an der FW an
Einfacher gehts ja nun wirklich nicht...!
Eine ACL ist hier aber überflüssig. Die privaten Adressen routet man am Gateway gegen Null. Wenn du dann Routen für die existierenden Netze entweder über ein Routingprotokoll oder statisch dem Router bekannt machst, funktioniert alles. Eine ACL ist hier nur unnötiger Konfigurationsaufwand und kostet unnütz CPU.
Routing-Konfiguration (IP-Adressen erfunden):
Linux-Router, interne IP des Transportnetzes: 10.0.10.1
Cisco-L3 Switch, IP im Transportnetz: 10.0.10.2
Der Switch hat 10 weitere Subnetze lokal connected. Um Pakete an nicht vorhandene IP-Netze aus dem Netz 10.0.0.0/16 nicht wieder zurück an den Router zu schicken, und damit eine Loop (Ping-Pong Problem) zu bauen, werden am Router ebenfalls die Blackhole-Netze bekanntgegeben.
Ein weiteres Segment aus dem Bereich 10.0.100.0/22 beifindet sich hinter dem L3 Switch. Erreichbar über einen weiteren Router 10.0.50.2 vom L3 Interface 10.0.50.1.
Auf diesem Router gibt es dann wieder die Blackhole-Routen um noch nicht vorhandene Netze ebenfalls nach null zu routen. Hier darf es aber nur 10.0.100.0/22 sein, dass nach null0 geroutet wird, sonst wird kein Client über diesen Router das Internet-Gateway erreichen können. Interface null0 muss natürlich vorhanden sein
Mit dieser Methode brauchst du keine einzige ACL und kannst alles vn der Routing-Engine, die teilweise in Hardware realisiert ist, erledigen lassen. Access-lists gehen in den meisten fällen über die CPU.
Routing-Konfiguration (IP-Adressen erfunden):
Linux-Router, interne IP des Transportnetzes: 10.0.10.1
Cisco-L3 Switch, IP im Transportnetz: 10.0.10.2
ip route add blackhole 10.0.0.0/8
ip route add blackhole 172.6.0.0/12
ip route add blackhole 192.168.0.0/16
ip route add 10.0.0.0/16 via 10.0.10.2
Der Switch hat 10 weitere Subnetze lokal connected. Um Pakete an nicht vorhandene IP-Netze aus dem Netz 10.0.0.0/16 nicht wieder zurück an den Router zu schicken, und damit eine Loop (Ping-Pong Problem) zu bauen, werden am Router ebenfalls die Blackhole-Netze bekanntgegeben.
Ein weiteres Segment aus dem Bereich 10.0.100.0/22 beifindet sich hinter dem L3 Switch. Erreichbar über einen weiteren Router 10.0.50.2 vom L3 Interface 10.0.50.1.
ip route 10.0.0.0 255.0.0.0 null0
ip route 10.0.100.0 255.255.252.0 10.0.50.2
Mit dieser Methode brauchst du keine einzige ACL und kannst alles vn der Routing-Engine, die teilweise in Hardware realisiert ist, erledigen lassen. Access-lists gehen in den meisten fällen über die CPU.