Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco ACL ans Interface binden

Mitglied: routermax

routermax (Level 1) - Jetzt verbinden

12.11.2019 um 09:47 Uhr, 216 Aufrufe, 4 Kommentare, 2 Danke

Guten Morgen zusammen,

ich möchte gerne eine ACL Regel mit einem IP Adressbereich und UDP Protokoll an ein Interface binden dessen Pakete nicht weitergegeben werden.
Der Rest der Pakete soll dann aber weitergeben werden.
Switch: Cisco Catalyst 2960x, IOS: 152-4.E8

Von: beliebig
An: IPv4: 239.255.0.0/16
Dienst: UDP Alle
Aktion: verweigern
Port: 1

Dann die Permit Rule für TCP
von: beliebig
an: beliebig
Dienst: TCP
Aktion: erlauben
Port: 1

Dann die Permit Rule für UDP
von: beliebig
an: beliebig
Dienst: UDP
Aktion: erlauben
Port: 1

Habe schon etwas gegoogelt und mit der Cisco Hilfe folgende Config erstellt. Klick

01.
config
02.
config#access-list INBOUND extended deny ip 239.255.0.0 255.255.0.0 any
03.
config#access-list INBOUND deny udp
04.
config#access-list INBOUND permit tcp
05.
config#access-list INBOUND extended permit ip any any
06.

07.
config# interface gi1/0/1
08.
config-if# access-group input INBOUND
Passt das so?

Gruß
Max
Mitglied: brammer
12.11.2019 um 10:35 Uhr
Hallo,

nein, passt so eher nicht....

01.
>  config#access-list INBOUND extended deny ip 239.255.0.0 255.255.0.0 any
ist ein deny für alle IP Pakete.
Ergo werden hiermit alle Pakete aus dem Netz 239.255.0.0 verworfen.
Danach UDP zu verbieten ist nutzlos...
Bis dahin kommt die ACL gar nicht
Und dann TCP erlauben bringt auch nichts

Was soll das permit ip any any?

brammer
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.11.2019, aktualisiert um 14:33 Uhr
Die ACL ist in der Tat syntaktisch falsch zu den Anforderungen. Auch das Kommando einer Named ACL ist falsch.
access-list INBOUND extended deny ip 239.255.0.0 255.255.0.0 any

Würde alles was VON der Absender IP nach irgendwohin geht blocken. Stimmt also nicht zu dem was oben gefordert ist.
access-list INBOUND deny udp
Verbietet (deny) generell UDP Traffic obwohl oben explixit "erlauben" (permit) gefordert ist. Das man Grundlegendes wie Ja und Nein sprich Permit und Deny verwechselt ist sollte eigentlich nicht passieren...!
access-list INBOUND extended permit ip any any erlaubt wieder alles. Damit ist dann auch TCP inkludiert und macht dann die TCP Regel überflüssig.

Also mal der Reihe nach....:
Alles von irgendwoher (any) soll an die Zieladresse 239.255.0.0/16 verboten werden:
ip access-list INBOUND deny ip any 239.255.0.0 0.0.255.255

Danach soll generell alles was UDP und TCP ist erlaubt (permit) werden.
ip access-list INBOUND permit udp
ip access-list INBOUND permit tcp

So das dann die finale Regel logisch und einfach so lautet:
ip access-list INBOUND deny ip any 239.255.0.0 0.0.255.255
ip access-list INBOUND permit udp any any
ip access-list INBOUND permit tcp any any


Diese wird dann ans Interface gebunden:
interface gig1/0/1
ip access-group INBOUND inbound


Nebenbei:
Hier sieht man auch gleich den gravierenden Nachteil die ACL "INBOUND" zu nennen. Der Parameter "inbound" ist Teil des IOS Kommandos und dadurch keine besonders intelligente Wahl des ACL Namens.
Man sollte generell vermeiden Variablen so zu benennen das sie heissen wie Kommandos oder Kommando Bestandteile. Das ist immer gefährlich und schadet nebenbei der Übersichtlichkeit.
Da diese List ja offensichtlich eingehenden Multicast Traffic mit den Multicast Gruppen 239.255.x.y blocken soll wäre es intelligenter die "MCBlocking" o.ä. zu nennen.
Bitte warten ..
Mitglied: routermax
12.11.2019 um 15:39 Uhr
Hallo ihr beiden,

vielen dank für eure Hilfe.

Und danke aqui für die Erklärung. Jetzt habe ich es auch Verstanden.

Kannst du mir auch hier helfen? Cisco aus einem anderern Netzwerk erreichbar machen

Gruß
Max
Bitte warten ..
Mitglied: aqui
12.11.2019 um 19:13 Uhr
Jetzt habe ich es auch Verstanden.
👍
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco extended ACL
gelöst Frage von ImTRYINFirewall23 Kommentare

Hallo! Suche dringend hilfe beim implementieren einer ACL für einen Cisco Router. Situation: Implementieren Sie eine Extended ACL mit ...

Netzwerkmanagement

Cisco SG350XG - ACL nachträglich bearbeiten

Frage von KnorkatorNetzwerkmanagement6 Kommentare

Hallo, ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal ...

LAN, WAN, Wireless

Cisco ASA Priority Queue via ACL

Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich würde gerne Videotraffic von einem externen Server im lokalen LAN Prioritisieren, momentan ruckeln Videos sehr wenn ein ...

LAN, WAN, Wireless

Cisco Netzwerk Asistent VLAN ACL Anlegen

gelöst Frage von Herbrich19LAN, WAN, Wireless50 Kommentare

Hallo, Ich habe ein Cisco Catalyst 3550 Switch. Ich möchte auf diesen nun eine ACL Anlegen die in VLAN ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 4 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 6 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server15 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

LAN, WAN, Wireless
KMU - WLAN Access Point ohne Cloud-Zwang gesucht
Frage von PalpatineLAN, WAN, Wireless11 Kommentare

Hallo, ich suche Access Points in der Preisklasse 200-300 €. Ich habe mir bereits den HPE Instant AP 15 ...

Hyper-V
Hyper-V - VM fährt nicht sauber herunter
Frage von KodaCHHyper-V11 Kommentare

Hallo zusammen Ich habe das Problem, wenn der Hypervisor neustartet, oder wenn ich in der Hyper-V Verwaltung eine VM ...