Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco ACL Übungen Erklärung

Mitglied: Luzifer696

Luzifer696 (Level 1) - Jetzt verbinden

22.06.2015 um 21:28 Uhr, 4721 Aufrufe, 5 Kommentare, 1 Danke

Hallo,

Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch.

Ich habe am MI eine Praktische Überprüfung. Ich kann alles soweit nur das mit den ACL verstehe ich irgendwie null.
Wäre Nett wenn mir das jemand erklären könnte.

Wir müssen solche sachen können:
______________________________

Die erste hälfte von Netz A soll die zweiter hälfte in Netz B erreichen und die Zweite Hälfte von Netz A soll die erste hälfte in Netz B erreichen.
______________________________

Erste Hälfte von Netz A soll nur über HTTP auf den Server in Netz B kommen die andere hälfte nur über HTTPS

______________________________


LG
Mitglied: aqui
23.06.2015, aktualisiert um 08:45 Uhr
Wäre Nett wenn mir das jemand erklären könnte.
Eigentlich doch kinderleicht, denn die ACLs erklären sich durch ihre Syntax ja schon so gut wie von selber !
Nach deiner Schilderung hast du wohl weniger ein Problem mit den ACLs als mit dem Subnetting von IP Netzen, oder ?

Bei deiner ersten Frage gehst du logisch vor.
Netz A: 172.16.1.0 /24
Netz B: 172.16.2.0 /24

Netzwerk A "teilt" man indem man die Subnetzmaske um dez. 1 erhöht also eine 25 Bit Maske 255.255.255.128 nimmt.
Die inverse Subnetz Maske die du für die ACL brauchst lautet 0.0.0.127
A1 reicht dann von 172.16.1.1 bis 172.16.1.126 and A2 von 172.16.1.129 bis 172.16.1.254
Analog dann mit Netz B

Jetzt hast du einen Router mit 2 Ports:
interface ethernet 1
ip address 172.16.1.1 255.255.255.0
!
interface ethernet 2
ip address 172.16.2.1 255.255.255.0


Von Ethernet 1 sollen nun alle A1 Adressen die Adressen B2 erreichen also 172.16.1.1 bis 172.16.1.126 erreichen 172.16.2.129 bis 172.16.2.254
Damit lautet dann die ACL ganz logisch
access-list 101 permit ip 172.16.1.0 0.0.0.127 172.16.2.128 0.0.0.127

Bei der anderen ACL (2te Hälfte A) dann analog
access-list 102 permit ip 172.16.1.128 0.0.0.127 172.16.2.1 0.0.0.127

Erklärt sich also von allein....

Kommen wir zum zweiten Part der Frage.
Ihr habt ja sicher gelernt das HTTP TCP Port 80 ist und HTTPS TCP Port 443
Nehmen wir mal an der Server hat die IP 172.16.2.200 im anderen Netz
Nun änderst du bzw. erweiterst deine ACL dazu entsprechend:
access-list 110 permit ip 172.16.1.0 0.0.0.127 host 172.16.2.200 eq 80
"eq 80" oder " eq www" steht hier für equal 80 oder entspricht dem Destination Port TCP 80

Du ahnst vermutlich selber wie es dann für HTTPS aussehen muss, oder ?
access-list 120 permit ip 172.16.1.128 0.0.0.127 host 172.16.2.200 eq 443

Nun musst du die ACL nur noch anwenden bzw. aktivieren auf den Interfaces z.B.:
interface ethernet 1
ip address 172.16.1.1 255.255.255.0
ip access-group 110 in
!
interface ethernet 2
ip address 172.16.2.1 255.255.255.0

...und fertig ist der Lack !

Wo ist denn nun dein wirkliches Problem ??
Bitte warten ..
Mitglied: Luzifer696
23.06.2015 um 19:08 Uhr
Danke,
Ich denke ich habe es jetzt soweit verstanden ich versuche noch ein paar Übungen zu machen


Was ich noch nicht verstehe was der unterschied zwischen in und out ist ?
Bitte warten ..
Mitglied: aqui
24.06.2015, aktualisiert um 09:54 Uhr
Auch das ist ganz einfach..... Wie der Name schon sagt:
  • "in" = bezieht sich auf den Paket Flow der IN das Interface hineingeht also alles was incoming Traffic ist vom Netzwerk in dieses Interface.
  • "out" = bezieht sich dann auf Traffic der AUS dem Interface herauskommt, quasi also alles das was dann auf den Ethernet Draht geht von diesme Interface.
Wie gesagt....ganz einfach und logisch !
Bitte warten ..
Mitglied: RoadRunner88
11.03.2019 um 08:30 Uhr
Hallo,

ich habe zu den Firewall Regeln eine allgemeine Frage:

Szenario: Hardware Firewall trennt ein Netz in einem großen Firmennetz:

Sagen wir IP-Netz intern: 172.168.10.0/24 extern 10.60.1.0/24 was wiederum nur ein Subnetz ist...

Jetzt sollen Geräte erreichbar sein bzw nach außen kommunizierne können

Regel dazu z.B:

ipv4rule from vlan 500 to vlan 1 srcip xxxxxxxxxx dstip xxxxxxxx action acc
ipv4rule from vlan 1 to vlan 500 srcip xxxxxxxxxxxx dstip xxxxxxxxxxxxx action acc

Was muss man als src IP bzw dst IP eintragen?

Wenn ein Gerät von innen nach außen kommunizieren möchte, hat das Paket als Ziel den next Hop, also die Firewall Schnittstelle, oder entscheidet die Firewall anhand des eigentlichen Ziels?

Also, wenn man Quell IP und Ziel IP einträgt, dann ist mir nicht so ganz klar, was damit gemeint ist. Die Geräte im internen VLAN1 haben als Standard Gateway die IP der internen FW Schnittstelle, ist dann damit auch das Ziel der Pakete zunächst die Firewall oder wie funktioniert das?



Andersherum das selbe....Was kommt als Quell IP am externe Port für die FW an, anhand die Firewall die Entscheidung trifft? Die IP des next Hops oder die IP des eigentlichen Absenders des Paketes? Also was muss bei der Regel Extern(vlan500) nach intern als Quelle angeben? 10.60.1.0/254 oder doch eher 0.0.0.0/0 ?


Danke
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 10:17 Uhr
Jetzt sollen Geräte erreichbar sein bzw nach außen kommunizierne können
Das wäre erstmal kinderleicht.
Dann brauchst du nur eine simple Regel auf dem internen Interface ala:
!
Interface intern
permit source: 172.168.10.0 mask 255.255.255.0 destination: any
!

Fertig...
Das lässt dann alle IP Pakete die aus dem 172.168.10.0er Netz kommen und eine beliebige Ziel IP Adresse haben passieren.
Also, wenn man Quell IP und Ziel IP einträgt, dann ist mir nicht so ganz klar, was damit gemeint ist.
Dann nimm dir am besten mal einen Wireshark oder installier dir einen Wireshark https://www.wireshark.org auf deinem rec hner und sehe dir selber mal die Struktur von IP Paketen an !!
Dann bekommst du sofort den Durchblick. Dir die einfachsten Grundlagen von IP Paketen zu erklären würde den Rahmen des Forums hier sprengen, da bist du selber gefordert.
https://de.wikipedia.org/wiki/IP-Paket
Nimm als Beispiel wieder dein Netz:
  • Rechner der im internen Netz ist z.B. mit der Absender IP 172.168.10.111 /24 (Klar, denn er ist ja Absender des Paketes)
  • Der will zu Administrator.de surfen mit der Ziel IP = 82.149.225.19
  • Im Paket steht jetzt als Source IP = 172.168.10.111 und als Destination IP = 82.149.225.19
  • Das Paket kommt jetzt eigehend an deinem internen Interface der Firewall an. Logisch, denn das Interface ist das Default Gateway des .111er PCs um in den Rest der IP Welt zu kommen.
  • Jetzt muss das IP Paket durch das obige Regelwerk der Firewall
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Ziel IP darf eine beliebige IP sein ! ==>> STIMMT !
  • IP Paket darf passieren !
Eigentlich doch kinderleicht, oder ?

Damit du es besser verstehst ändern wir die Regel mal etwas ab und machen sie strikter das die Absender einzig nur mit Surf Daten via Browser (HTTP = TCP Port 80) und einzig nur zu Adminstrator.de dürfen.
!
Interface intern
permit source: 172.168.10.0 mask 255.255.255.0 Port: any destination: host 82.149.225.19 Port: 80
!

  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT !
  • Ziel Port muss TCP 80 sein ! ==>> STIMMT !
  • IP Paket darf passieren !
Jetzt willst du mit deinem PC zum Mitbewerb http://gutefrage.net !
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT NICHT ! (Zielhost: 213.95.206.41)
  • IP Paket darf NICHT passieren und wird blockiert !
Oder wenn der Rechner .111 ein Email an Administrator.de schicken will:
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT !
  • Ziel Port muss TCP 80 sein ! ==>> STIMMT NICHT ! (Email nutzt den Port TCP 25)
  • IP Paket darf NICHT passieren und wird blockiert !

Du hast jetzt vermutlich die einfache und simple Logik verstanden die sich hinter den Regeln verbirgt, oder ?
Wie bereits gesagt: Schmeiss den Kabelhai an und sieh dir selber mal an was so los ist auf dem Netz !
Ein Bild sagt mehr als 1000 Worte !!
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco extended ACL
gelöst Frage von ImTRYINFirewall23 Kommentare

Hallo! Suche dringend hilfe beim implementieren einer ACL für einen Cisco Router. Situation: Implementieren Sie eine Extended ACL mit ...

Netzwerkmanagement

Cisco SG350XG - ACL nachträglich bearbeiten

Frage von KnorkatorNetzwerkmanagement6 Kommentare

Hallo, ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal ...

LAN, WAN, Wireless

Cisco ASA Priority Queue via ACL

Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich würde gerne Videotraffic von einem externen Server im lokalen LAN Prioritisieren, momentan ruckeln Videos sehr wenn ein ...

LAN, WAN, Wireless

Cisco Netzwerk Asistent VLAN ACL Anlegen

gelöst Frage von Herbrich19LAN, WAN, Wireless50 Kommentare

Hallo, Ich habe ein Cisco Catalyst 3550 Switch. Ich möchte auf diesen nun eine ACL Anlegen die in VLAN ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 7 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server21 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
Frage von samreinWindows Server14 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...