1
Cisco-Firewall Regeln
Hallo,
ich habe vom Grundsatz ein Verständigungsproblem beim Erstellen der Access-Rules. Viel gelesen, aber noch nicht den Ah-Effekt gehabt!
Die FW hat VLAN2 (Outside) und VLAN1 (Inside). Am VLAN2 hängt der Router und am VLAN1 das interne Netzwerk.
Outside steht alles auf any / any "Deny" - somit ist ja von Außen Alles geblockt, gel!? Nun will ich den Inside-Port (lokales LAN) filtern und Regeln erstellen.
Am Beispiel des TCP-Port 80 - wie muss die Regel aussehen, wenn ich nur den Port 80 nach außen durchlassen will?
Port VLAN1 (Inside) ist der den ich ja konfigurieren muss ...?
Wo ist Inside und wo Outside am VLAN1? Ist das vom Netzwerk gesehen (also in Flußrichtung) oder von der FW (Gerät) bzw. von außen aus? Oder muss ich als Destination den VLAN2 / Inside angeben?
Wenn ich die Access-Rules mit "Permit" fertig habe muss der Rest ja geblockt werden - oder?
Reihenfolge: erst einzelne Ports erlauben und zum Schluß den Rest verbieten ... RICHTIG?
Wenn ich dieses Prinzip verstanden habe komme ich auch weiter
Erbitte um Auflösung des gedanklichen Knotens!
Danke im Voraus!
Andreas
ich habe vom Grundsatz ein Verständigungsproblem beim Erstellen der Access-Rules. Viel gelesen, aber noch nicht den Ah-Effekt gehabt!
Die FW hat VLAN2 (Outside) und VLAN1 (Inside). Am VLAN2 hängt der Router und am VLAN1 das interne Netzwerk.
Outside steht alles auf any / any "Deny" - somit ist ja von Außen Alles geblockt, gel!? Nun will ich den Inside-Port (lokales LAN) filtern und Regeln erstellen.
Am Beispiel des TCP-Port 80 - wie muss die Regel aussehen, wenn ich nur den Port 80 nach außen durchlassen will?
Port VLAN1 (Inside) ist der den ich ja konfigurieren muss ...?
Wo ist Inside und wo Outside am VLAN1? Ist das vom Netzwerk gesehen (also in Flußrichtung) oder von der FW (Gerät) bzw. von außen aus? Oder muss ich als Destination den VLAN2 / Inside angeben?
Wenn ich die Access-Rules mit "Permit" fertig habe muss der Rest ja geblockt werden - oder?
Reihenfolge: erst einzelne Ports erlauben und zum Schluß den Rest verbieten ... RICHTIG?
Wenn ich dieses Prinzip verstanden habe komme ich auch weiter
Erbitte um Auflösung des gedanklichen Knotens!Danke im Voraus!
Andreas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169855
Url: https://administrator.de/forum/cisco-firewall-regeln-169855.html
Ausgedruckt am: 20.04.2025 um 05:04 Uhr
1 Kommentar
Hallo,
du kannst keine ACL für ein VLAN erstellen.
Du erstellst höchsten eine ACL für den Traffic aus einem VLAN in ein anderes VLAN.
Deine Regel Deny any / any verbietetjegelichen Traffic aus dem VLAN in ein anderes.
Wenn du Port 80 erlauben willst machst du das mit einem permit tcp 80 equal http
Cisco bietet alle Informationen auf seiner Webseite an
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_ ...
oder nicht direkt von Cisco
http://www.networkclue.com/routing/cisco/access-lists/index.aspx
brammer
du kannst keine ACL für ein VLAN erstellen.
Du erstellst höchsten eine ACL für den Traffic aus einem VLAN in ein anderes VLAN.
Deine Regel Deny any / any verbietetjegelichen Traffic aus dem VLAN in ein anderes.
Wenn du Port 80 erlauben willst machst du das mit einem permit tcp 80 equal http
Cisco bietet alle Informationen auf seiner Webseite an
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_ ...
oder nicht direkt von Cisco
http://www.networkclue.com/routing/cisco/access-lists/index.aspx
brammer
