windows10gegner
Goto Top

Cisco IOS IPv6 Traffic auf bestimmten Port und bestimtme Adresse in ACL

Hallo,
ich möchte bestimmten IPv6-Traffic auf einen bestimmten Port einer speziellen IP blockieren, um so den Login auf einen Telnet-Server des Cisco-Routers nur aus dem internen Netzwerk möglich zu machen.
Das soll über die Firewall des Cisco geschehen.

So sieht diese Liste aktuell aus:
Die erste Zeile nutze ich, damit Telnet aus dem Heimnetz erlaubt wird (alles andere kann da ja auch erlaubt werden).
Die zweite Zeile soll dann Telnet auf die spezielle IP verbieten und greift ja nur, wenn die erste Regel nicht passt --> nur bei externem Traffic)
Die 3. Regel lässt dann vorsichtshalber alles durch (so soll es sein).

Ist dieser Ansatz so korrekt?
Ich habe die Regel noch nicht aktiviert, bevor ich mich aussperre.
Das Ganze würde ich dann noch auf den DNS erweitern.

LG Marco

Content-Key: 621900

Url: https://administrator.de/contentid/621900

Printed on: December 4, 2022 at 12:12 o'clock

Member: aqui
Solution aqui Nov 13, 2020 at 22:15:55 (UTC)
Goto Top
Ansatz ist zu kompliziert gedacht....
Mach es so wie bei IPv4 und nimme eine Standard ACL statt einer Extended.

access-list 23 permit 192.168.100.0 0.0.0.255
!
line vty 0 4
access-class 23 in
login local
transport input telnet ssh


So greift die ACL nur rein auf den Terminal Zugriff. face-wink
Member: Windows10Gegner
Windows10Gegner Nov 14, 2020 at 08:23:21 (UTC)
Goto Top
Ich kann da leider keine IPv6-Adresse bzw. ein Netz angeben.
Member: aqui
aqui Nov 14, 2020 at 14:46:41 (UTC)
Goto Top
Das Kommando lautet dann "ipv6 access-list xyz ..." face-wink
Member: Windows10Gegner
Windows10Gegner Nov 14, 2020 at 16:08:00 (UTC)
Goto Top
Klappt leider noch nicht.
Ich habe nun Testweise mal eine ACL angelegt, die alles für IPv6 blockieren soll (um zu testen, ist ja dann nur die Konfig vom Cisco betroffen, die auch per IPv4 erreichbar ist).
Ich hätte hier jetzt erwartet, dass dann gar kein IPv6-Zugang mehr zum Cisco möglich ist.
Dem ist aber nicht so.
Member: aqui
aqui Nov 14, 2020 at 17:24:10 (UTC)
Goto Top
Routing Zugang ist natürlich gegeben aber der Telnet und SSH Zugang der sollte mit der o.a. ACL blockiert sein für IPv6.
Die ACL bezieht sich ja rein nur auf den Telnet und SSH Zugang der virtuellen Terminal Ports vty 0 4
Member: Windows10Gegner
Windows10Gegner Nov 14, 2020 at 17:31:49 (UTC)
Goto Top
Wenn die ACL so wie sie aktuell ist (also alles zu IPv6 droppen) auf die vty 0 4 anwenden (so wie oben beschrieben) passiert exakt nichts. Weiterhin Zugang möglich.
Member: aqui
Solution aqui Nov 14, 2020 updated at 18:35:39 (UTC)
Goto Top
Da ist auch noch ein kleiner Fehler drin:
line vty 0 4
ipv6 access-class telnet-block in


https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configura ...
Member: Windows10Gegner
Windows10Gegner Nov 14, 2020 at 18:41:17 (UTC)
Goto Top
Danke, das war der Fehler.
Member: aqui
aqui Nov 14, 2020 at 18:42:29 (UTC)
Goto Top
Immer gerne ! face-wink