luzifer696
Goto Top

Cisco ACL Übungen Erklärung

Hallo,

Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch.

Ich habe am MI eine Praktische Überprüfung. Ich kann alles soweit nur das mit den ACL verstehe ich irgendwie null.
Wäre Nett wenn mir das jemand erklären könnte.

Wir müssen solche sachen können:
______________________________

Die erste hälfte von Netz A soll die zweiter hälfte in Netz B erreichen und die Zweite Hälfte von Netz A soll die erste hälfte in Netz B erreichen.
______________________________

Erste Hälfte von Netz A soll nur über HTTP auf den Server in Netz B kommen die andere hälfte nur über HTTPS

______________________________


LG

Content-ID: 275363

Url: https://administrator.de/contentid/275363

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

aqui
aqui 23.06.2015 aktualisiert um 08:45:03 Uhr
Goto Top
Wäre Nett wenn mir das jemand erklären könnte.
Eigentlich doch kinderleicht, denn die ACLs erklären sich durch ihre Syntax ja schon so gut wie von selber !
Nach deiner Schilderung hast du wohl weniger ein Problem mit den ACLs als mit dem Subnetting von IP Netzen, oder ?

Bei deiner ersten Frage gehst du logisch vor.
Netz A: 172.16.1.0 /24
Netz B: 172.16.2.0 /24

Netzwerk A "teilt" man indem man die Subnetzmaske um dez. 1 erhöht also eine 25 Bit Maske 255.255.255.128 nimmt.
Die inverse Subnetz Maske die du für die ACL brauchst lautet 0.0.0.127
A1 reicht dann von 172.16.1.1 bis 172.16.1.126 and A2 von 172.16.1.129 bis 172.16.1.254
Analog dann mit Netz B

Jetzt hast du einen Router mit 2 Ports:
interface ethernet 1
ip address 172.16.1.1 255.255.255.0
!
interface ethernet 2
ip address 172.16.2.1 255.255.255.0


Von Ethernet 1 sollen nun alle A1 Adressen die Adressen B2 erreichen also 172.16.1.1 bis 172.16.1.126 erreichen 172.16.2.129 bis 172.16.2.254
Damit lautet dann die ACL ganz logisch
access-list 101 permit ip 172.16.1.0 0.0.0.127 172.16.2.128 0.0.0.127

Bei der anderen ACL (2te Hälfte A) dann analog
access-list 102 permit ip 172.16.1.128 0.0.0.127 172.16.2.1 0.0.0.127

Erklärt sich also von allein....

Kommen wir zum zweiten Part der Frage.
Ihr habt ja sicher gelernt das HTTP TCP Port 80 ist und HTTPS TCP Port 443
Nehmen wir mal an der Server hat die IP 172.16.2.200 im anderen Netz
Nun änderst du bzw. erweiterst deine ACL dazu entsprechend:
access-list 110 permit ip 172.16.1.0 0.0.0.127 host 172.16.2.200 eq 80
"eq 80" oder " eq www" steht hier für equal 80 oder entspricht dem Destination Port TCP 80

Du ahnst vermutlich selber wie es dann für HTTPS aussehen muss, oder ?
access-list 120 permit ip 172.16.1.128 0.0.0.127 host 172.16.2.200 eq 443

Nun musst du die ACL nur noch anwenden bzw. aktivieren auf den Interfaces z.B.:
interface ethernet 1
ip address 172.16.1.1 255.255.255.0
ip access-group 110 in
!
interface ethernet 2
ip address 172.16.2.1 255.255.255.0

...und fertig ist der Lack !

Wo ist denn nun dein wirkliches Problem ??
Luzifer696
Luzifer696 23.06.2015 um 19:08:20 Uhr
Goto Top
Danke,
Ich denke ich habe es jetzt soweit verstanden ich versuche noch ein paar Übungen zu machen


Was ich noch nicht verstehe was der unterschied zwischen in und out ist ?
aqui
aqui 24.06.2015 aktualisiert um 09:54:42 Uhr
Goto Top
Auch das ist ganz einfach..... Wie der Name schon sagt:
  • "in" = bezieht sich auf den Paket Flow der IN das Interface hineingeht also alles was incoming Traffic ist vom Netzwerk in dieses Interface.
  • "out" = bezieht sich dann auf Traffic der AUS dem Interface herauskommt, quasi also alles das was dann auf den Ethernet Draht geht von diesme Interface.
Wie gesagt....ganz einfach und logisch !
RoadRunner88
RoadRunner88 11.03.2019 um 08:30:25 Uhr
Goto Top
Hallo,

ich habe zu den Firewall Regeln eine allgemeine Frage:

Szenario: Hardware Firewall trennt ein Netz in einem großen Firmennetz:

Sagen wir IP-Netz intern: 172.168.10.0/24 extern 10.60.1.0/24 was wiederum nur ein Subnetz ist...

Jetzt sollen Geräte erreichbar sein bzw nach außen kommunizierne können

Regel dazu z.B:

ipv4rule from vlan 500 to vlan 1 srcip xxxxxxxxxx dstip xxxxxxxx action acc
ipv4rule from vlan 1 to vlan 500 srcip xxxxxxxxxxxx dstip xxxxxxxxxxxxx action acc

Was muss man als src IP bzw dst IP eintragen?

Wenn ein Gerät von innen nach außen kommunizieren möchte, hat das Paket als Ziel den next Hop, also die Firewall Schnittstelle, oder entscheidet die Firewall anhand des eigentlichen Ziels?

Also, wenn man Quell IP und Ziel IP einträgt, dann ist mir nicht so ganz klar, was damit gemeint ist. Die Geräte im internen VLAN1 haben als Standard Gateway die IP der internen FW Schnittstelle, ist dann damit auch das Ziel der Pakete zunächst die Firewall oder wie funktioniert das?


Andersherum das selbe....Was kommt als Quell IP am externe Port für die FW an, anhand die Firewall die Entscheidung trifft? Die IP des next Hops oder die IP des eigentlichen Absenders des Paketes? Also was muss bei der Regel Extern(vlan500) nach intern als Quelle angeben? 10.60.1.0/254 oder doch eher 0.0.0.0/0 ?


Danke
aqui
aqui 11.03.2019 aktualisiert um 10:17:40 Uhr
Goto Top
Jetzt sollen Geräte erreichbar sein bzw nach außen kommunizierne können
Das wäre erstmal kinderleicht.
Dann brauchst du nur eine simple Regel auf dem internen Interface ala:
!
Interface intern
permit source: 172.168.10.0 mask 255.255.255.0 destination: any
!

Fertig...
Das lässt dann alle IP Pakete die aus dem 172.168.10.0er Netz kommen und eine beliebige Ziel IP Adresse haben passieren.
Also, wenn man Quell IP und Ziel IP einträgt, dann ist mir nicht so ganz klar, was damit gemeint ist.
Dann nimm dir am besten mal einen Wireshark oder installier dir einen Wireshark https://www.wireshark.org auf deinem rec hner und sehe dir selber mal die Struktur von IP Paketen an !!
Dann bekommst du sofort den Durchblick. Dir die einfachsten Grundlagen von IP Paketen zu erklären würde den Rahmen des Forums hier sprengen, da bist du selber gefordert.
https://de.wikipedia.org/wiki/IP-Paket
Nimm als Beispiel wieder dein Netz:
  • Rechner der im internen Netz ist z.B. mit der Absender IP 172.168.10.111 /24 (Klar, denn er ist ja Absender des Paketes)
  • Der will zu Administrator.de surfen mit der Ziel IP = 82.149.225.19
  • Im Paket steht jetzt als Source IP = 172.168.10.111 und als Destination IP = 82.149.225.19
  • Das Paket kommt jetzt eigehend an deinem internen Interface der Firewall an. Logisch, denn das Interface ist das Default Gateway des .111er PCs um in den Rest der IP Welt zu kommen.
  • Jetzt muss das IP Paket durch das obige Regelwerk der Firewall
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Ziel IP darf eine beliebige IP sein ! ==>> STIMMT !
  • IP Paket darf passieren !
Eigentlich doch kinderleicht, oder ?

Damit du es besser verstehst ändern wir die Regel mal etwas ab und machen sie strikter das die Absender einzig nur mit Surf Daten via Browser (HTTP = TCP Port 80) und einzig nur zu Adminstrator.de dürfen.
!
Interface intern
permit source: 172.168.10.0 mask 255.255.255.0 Port: any destination: host 82.149.225.19 Port: 80
!

  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT !
  • Ziel Port muss TCP 80 sein ! ==>> STIMMT !
  • IP Paket darf passieren !
Jetzt willst du mit deinem PC zum Mitbewerb http://gutefrage.net !
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT NICHT ! (Zielhost: 213.95.206.41)
  • IP Paket darf NICHT passieren und wird blockiert !
Oder wenn der Rechner .111 ein Email an Administrator.de schicken will:
  • Absender IP muss aus dem Netz 172.168.10.x sein ! ==>> STIMMT !
  • Der Absender Port darf beliebig sein ! ==>> STIMMT !
  • Ziel IP darf nur die Hostadresse 82.149.225.19 sein ! ==>> STIMMT !
  • Ziel Port muss TCP 80 sein ! ==>> STIMMT NICHT ! (Email nutzt den Port TCP 25)
  • IP Paket darf NICHT passieren und wird blockiert !

Du hast jetzt vermutlich die einfache und simple Logik verstanden die sich hinter den Regeln verbirgt, oder ?
Wie bereits gesagt: Schmeiss den Kabelhai an und sieh dir selber mal an was so los ist auf dem Netz !
Ein Bild sagt mehr als 1000 Worte !!
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html