Cisco IOS IPv6 Traffic auf bestimmten Port und bestimtme Adresse in ACL

Hallo,
ich möchte bestimmten IPv6-Traffic auf einen bestimmten Port einer speziellen IP blockieren, um so den Login auf einen Telnet-Server des Cisco-Routers nur aus dem internen Netzwerk möglich zu machen.
Das soll über die Firewall des Cisco geschehen.

So sieht diese Liste aktuell aus:

ipv6 access-list telnet-block
 permit tcp 2001:470:b:a::/64 any
 deny tcp any host 2001:470:b:a::1 eq telnet
 permit ipv6 any any

Die erste Zeile nutze ich, damit Telnet aus dem Heimnetz erlaubt wird (alles andere kann da ja auch erlaubt werden).
Die zweite Zeile soll dann Telnet auf die spezielle IP verbieten und greift ja nur, wenn die erste Regel nicht passt --> nur bei externem Traffic)
Die 3. Regel lässt dann vorsichtshalber alles durch (so soll es sein).

Ist dieser Ansatz so korrekt?
Ich habe die Regel noch nicht aktiviert, bevor ich mich aussperre.
Das Ganze würde ich dann noch auf den DNS erweitern.

LG Marco

Please also mark the comments that contributed to the solution of the article

Content-Key: 621900

Url: https://administrator.de/contentid/621900

Printed on: April 23, 2024 at 09:04 o'clock

9 Comments

Latest comment

Ansatz ist zu kompliziert gedacht....
Mach es so wie bei IPv4 und nimme eine Standard ACL statt einer Extended.

access-list 23 permit 192.168.100.0 0.0.0.255
!
line vty 0 4
access-class 23 in
login local
transport input telnet ssh

So greift die ACL nur rein auf den Terminal Zugriff.

Ich kann da leider keine IPv6-Adresse bzw. ein Netz angeben.

cisco886va(config)#access-list 23 permit ?                       
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

cisco886va(config)#access-list 23 permit 2001:470:a:b::/64
                                         ^
% Invalid input detected at '^' marker. #Der Marker zeigt auf die 2 am Anfang der IPv6-Adresse.  

cisco886va(config)#

Das Kommando lautet dann "ipv6 access-list xyz ..."

Klappt leider noch nicht.
Ich habe nun Testweise mal eine ACL angelegt, die alles für IPv6 blockieren soll (um zu testen, ist ja dann nur die Konfig vom Cisco betroffen, die auch per IPv4 erreichbar ist).

ipv6 access-list telnet-block
 deny ipv6 any any
!

####
cisco886va(config-line)#do sh run | begin line      
line con 0
 no modem enable
line aux 0
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 access-class telnet-block in
 login authentication local_auth
 transport input telnet ssh
!

Ich hätte hier jetzt erwartet, dass dann gar kein IPv6-Zugang mehr zum Cisco möglich ist.
Dem ist aber nicht so.

Routing Zugang ist natürlich gegeben aber der Telnet und SSH Zugang der sollte mit der o.a. ACL blockiert sein für IPv6.
Die ACL bezieht sich ja rein nur auf den Telnet und SSH Zugang der virtuellen Terminal Ports vty 0 4

Wenn die ACL so wie sie aktuell ist (also alles zu IPv6 droppen) auf die vty 0 4 anwenden (so wie oben beschrieben) passiert exakt nichts. Weiterhin Zugang möglich.

Da ist auch noch ein kleiner Fehler drin:
line vty 0 4
ipv6 access-class telnet-block in

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configura ...

Danke, das war der Fehler.

Immer gerne !

German solved Question Firewall Security

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment