Cisco ACL für eine IP Adresse (alles deny ausser FTP auf eine bestimmte IP)
Hallo Zusammen,
ich bin gerade dabei mich in die Cisco Welt einzuleben. Ich habe ein Abbild meines Netzwerkes in einer Testumgebung kopiert weil ich das Routing von den Firewalls wegnehmen möchte und auf unsere Ciscos legen will. Bisher bin ich auch ganz gut klargekommen. Allerdings hänge ich gerade an einer kleinen Sache.
Es gibt eine IP Adresse, die ich in eine ACL packen möchte und die nur per FTP auf zwei Hosts zugreifen darf. Sonst darf diese IP/Host nichts !
Wie kann ich das nun einrichten ?
Gegeben ist ein WS-C2960G-48TC-L mit aktuellem IOS.
Konkret :
IP Adresse 10.140.80.205 darf per FTP nur auf die IP Adressen 192.168.200.100 und 192.168.200.101 zugreifen - Sonst nix !
Ich hoffe ihr könnt mir weiterhelfen
Vielen Dank
ich bin gerade dabei mich in die Cisco Welt einzuleben. Ich habe ein Abbild meines Netzwerkes in einer Testumgebung kopiert weil ich das Routing von den Firewalls wegnehmen möchte und auf unsere Ciscos legen will. Bisher bin ich auch ganz gut klargekommen. Allerdings hänge ich gerade an einer kleinen Sache.
Es gibt eine IP Adresse, die ich in eine ACL packen möchte und die nur per FTP auf zwei Hosts zugreifen darf. Sonst darf diese IP/Host nichts !
Wie kann ich das nun einrichten ?
Gegeben ist ein WS-C2960G-48TC-L mit aktuellem IOS.
Konkret :
IP Adresse 10.140.80.205 darf per FTP nur auf die IP Adressen 192.168.200.100 und 192.168.200.101 zugreifen - Sonst nix !
Ich hoffe ihr könnt mir weiterhelfen
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162484
Url: https://administrator.de/forum/cisco-acl-fuer-eine-ip-adresse-alles-deny-ausser-ftp-auf-eine-bestimmte-ip-162484.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
2 Kommentare
Neuester Kommentar
Gesetzt den Fall dein Netzwerk ist 10.140.80.0 /24 und das Interface wo der Client ist, ist vlan 1 auf dem Switch, dann sieht eine korrekte Konfig so aus:
ip access-list extended FTP-erlauben
permit tcp host 10.140.80.205 host 192.168.200.100 eq ftp
permit tcp host 10.140.80.205 host 192.168.200.100 eq ftp-data
permit tcp host 10.140.80.205 host 192.168.200.101 eq ftp
permit tcp host 10.140.80.205 host 192.168.200.101 eq ftp-data
deny ip host 10.140.80.205 any
permit ip 10.140.80.0 0.0.0.255 any
interface vlan 1
description Lokales Netzwerk
ip address 10.140.80.254 255.255.255.0
ip access-group FTP-erlauben in
Fertisch !
Bedenke aber das damit nur TCP 20 und 21 für diesen Host rüberkommen ! Wenn der sich noch irgendwie per DHCP extern Adressen holt oder DNS machen muss dann iss nich mit dieser ACL ! Das geht dann nur im lokalen 10.140.80.0 /24 Netz denn das blockt die o.a. ACL auch.
Du müsstest sonst alles weitere externe zusätzlich explizit erlauben wie z.B. DNS mit
"permit udp host 10.140.80.205 host any eq dns"
usw.
Zur Not den ACL Debugger einschalten, dann spricht der Cisco mit dir !
ip access-list extended FTP-erlauben
permit tcp host 10.140.80.205 host 192.168.200.100 eq ftp
permit tcp host 10.140.80.205 host 192.168.200.100 eq ftp-data
permit tcp host 10.140.80.205 host 192.168.200.101 eq ftp
permit tcp host 10.140.80.205 host 192.168.200.101 eq ftp-data
deny ip host 10.140.80.205 any
permit ip 10.140.80.0 0.0.0.255 any
interface vlan 1
description Lokales Netzwerk
ip address 10.140.80.254 255.255.255.0
ip access-group FTP-erlauben in
Fertisch !
Bedenke aber das damit nur TCP 20 und 21 für diesen Host rüberkommen ! Wenn der sich noch irgendwie per DHCP extern Adressen holt oder DNS machen muss dann iss nich mit dieser ACL ! Das geht dann nur im lokalen 10.140.80.0 /24 Netz denn das blockt die o.a. ACL auch.
Du müsstest sonst alles weitere externe zusätzlich explizit erlauben wie z.B. DNS mit
"permit udp host 10.140.80.205 host any eq dns"
usw.
Zur Not den ACL Debugger einschalten, dann spricht der Cisco mit dir !