19
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren
Hallo zusammen,
ich möchte auf einem bestimmten vLAN meines SG 200 nur den TCP-Verkehr mit den Zielports 80 und 443 durchlassen, alles andere soll weggefiltert werden. Kann ich das irgendwo einstellen?
Danke im Voraus,
Sarek \\//_
ich möchte auf einem bestimmten vLAN meines SG 200 nur den TCP-Verkehr mit den Zielports 80 und 443 durchlassen, alles andere soll weggefiltert werden. Kann ich das irgendwo einstellen?
Danke im Voraus,
Sarek \\//_
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332758
Url: https://administrator.de/forum/cisco-sg200-auf-bestimmtem-vlan-bestimmte-tcp-ports-sperren-332758.html
Ausgedruckt am: 31.03.2025 um 14:03 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
klar: auf der Firewall
Gruß
klar: auf der Firewall
Gruß
Ich möchte das wirklich im Switch regeln. Bei unserem D-Link-Switch bei meinem Arbeitgeber kann ich das über ACLs regeln, aber bei dem SG200 finde ich keine ACLs - oder heißen die da nur anders?
Moin.
Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht
, da brauchst du dann schon die Layer-3 Version (SG300)
Machst du bei dir (wie schon gesagt wurde) also auf deiner Firewall wo du zwischen den VLANs routest, der SG200 kann ja aus Prinzip nicht zwischen den VLANs routen.
Gruß
Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht
, da brauchst du dann schon die Layer-3 Version (SG300)Machst du bei dir (wie schon gesagt wurde) also auf deiner Firewall wo du zwischen den VLANs routest, der SG200 kann ja aus Prinzip nicht zwischen den VLANs routen.
Gruß
Nö, die heißen auch bei Cisco so. Nur gibts die beim SG200er nicht.
Zitat von @132692:
Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht, da brauchst du dann schon die Layer-3 Version (SG300)
Das ist ein Layer-2 Switch der kennt sowas wie TCP-Ports nicht
, da brauchst du dann schon die Layer-3 Version (SG300)Grummel ... ich habe dieses OSI-Modell nie verstanden ... zu abstrakt.
Aber leider essentielles Wissen für Netzwerker
Hier steht's auch noch detailliert dargestellt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hier steht's auch noch detailliert dargestellt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo,
@SarekHL
wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?
Alles was an der Firewall vorbei kommt kann potentiell Schaden anrichten.... Also sollte man es erst gar nicht soweit kommen lassen.
Aber das die SG200 das sowieso nicht können ist die Frage eher theoretischer Natur.....
brammer
@SarekHL
wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?
Alles was an der Firewall vorbei kommt kann potentiell Schaden anrichten.... Also sollte man es erst gar nicht soweit kommen lassen.
Aber das die SG200 das sowieso nicht können ist die Frage eher theoretischer Natur.....
brammer
Hallo,
- An der Firewall
- Mit ACLs am Switch (wenn möglich und vorhanden)
Alles ist möglich bei Deinem Vorhaben.
Gruß
Dobby
ich möchte auf einem bestimmten vLAN meines SG 200 nur den TCP-Verkehr mit den Zielports 80 und 443 durchlassen, alles
andere soll weggefiltert werden. Kann ich das irgendwo einstellen?
- Am Routerandere soll weggefiltert werden. Kann ich das irgendwo einstellen?
- An der Firewall
- Mit ACLs am Switch (wenn möglich und vorhanden)
Alles ist möglich bei Deinem Vorhaben.
Gruß
Dobby
Es geht eher um rauslassen. Wir wollen unterbinden, dass in einem bestimmten vLAN auf den Ports 25 und 110 (also unverschlüsselt) mit Mailservern kommuniziert wird. Ja, das geht auch im Router ... aber da benutzen wir eigentlich keine vLANs ... der Switch wäre also die einfachere Methode gewesen,
Kann ich das irgendwo einstellen?
Nein !Der SG-200 ist ein Layer 2 only Switch (im Gegensatz zum SG-300 der es als L3 Switch kann) der keine IP Accesslisten auf den VLAN Ports supportet.
Ist auch völlig klar, denn als L2 Switch interessieren ihn der IP Header (und damit die IP Adressen) der Pakete nicht die Bohne.
Für ihn sind einzig nur die Mac Adressen relevant, denn nur anhand der Macs definiert er seine interne Forwarding Tabelle.
Das ist aber netzwerken erste Klasse Grundschule und solltest du als alter Administrator.de Haudegen doch nun langsam mal wissen hier mit den zig Grundlagenthreads
Folglich hast du auch Null Chance nach IP Adressen oder Ports (Layer 4) zu filtern auf diesem Switch.
Logischerweise machst du das an deinen VLAN Layer 3 Interfaces an Router oder Firewall wo du diese IP Netze routingtechnisch terminierst. Da ist es dann ein Kinderspiel.
Die Kollegen oben haben dich ja schon auf den richtigen Weg gebracht !
Vorher planen und analysieren, dann die richtige Hardware kaufen
Ist nicht böse gemeint.
Ist nicht böse gemeint.
Irgendwo routet er ja seine VLANs und da kann er dann auch sehr einfach filtern. Es klappt also auch mit seiner verwendeten HW.
Wo ein Wille ist ist auch ein Filter...
Wo ein Wille ist ist auch ein Filter...
Moin,
Es geht eher um rauslassen. Wir wollen unterbinden, dass in einem bestimmten vLAN auf den Ports 25 und 110 (also unverschlüsselt) mit Mailservern kommuniziert wird. Ja, das geht auch im Router ... aber da benutzen wir eigentlich keine vLANs ...
Wer kümmert sich denn darum, dass der Traffic von VLAN 0815 nach 0816 kommt? Denn das Gerät muss ja die VLANs kennen.
Und wenn du im obigen Szenario mit Router das Gateway/ eine UTM (Router + Firewall + Proxy...) meinst, dann kenn die sehr wohl die ganzen IPs, die ins WAN wollen, sofern der VLAN-Router (so nennen ich jetzt mal den Router, der die VLANs "routet") nicht zum zentralen Gaetway hin NAT einsetzt... ansonsten wird einfach pauschal Port 110 und 25 ausgehend dicht gemacht. Aus die Laube...
Gruß
em-pie
wieso willst du den Traffic eigentlich erst in dein Netzwerk rein lassen?
Es geht eher um rauslassen. Wir wollen unterbinden, dass in einem bestimmten vLAN auf den Ports 25 und 110 (also unverschlüsselt) mit Mailservern kommuniziert wird. Ja, das geht auch im Router ... aber da benutzen wir eigentlich keine vLANs ...
Und wenn du im obigen Szenario mit Router das Gateway/ eine UTM (Router + Firewall + Proxy...) meinst, dann kenn die sehr wohl die ganzen IPs, die ins WAN wollen, sofern der VLAN-Router (so nennen ich jetzt mal den Router, der die VLANs "routet") nicht zum zentralen Gaetway hin NAT einsetzt... ansonsten wird einfach pauschal Port 110 und 25 ausgehend dicht gemacht. Aus die Laube...
Gruß
em-pie
Hallo,
hier ganz kurz und sehr vereinfacht die 7 ISO Layer
1 = Kabel
2 = Netzwerkpakete mit MAC-Adressen
3 = Netzwerkpakete mit IP-Adressen
7 = Anwendung
8 = Anwender
Ein Layer-2-Swich kennt also nur MAC-Adressen und weiß nichts von IP-Adressen.
Alle billigen, einfachen und dummen (unmanaged) Switche sind Layer-2.
Viele Grüße
Stefan
Alle billige, einfache und dumme (unmanaged) Switche sind Layer-2.
Und dieser hier ist ein verwalteter Switch (managed) und auch Layer2!Gruß
Dobby
Zitat von @108012:
Und dieser hier ist ein verwalteter Switch (managed) und auch Layer2!
Aber es ist ein einfacher Switch Und dieser hier ist ein verwalteter Switch (managed) und auch Layer2!
Ich habe ein paar SG200 und SG300 im Einsatz bei Kunden.
Es ging mir eher darum zu sagen, dass die ganzen 10 Euro Switch alle Layer-2 sind.
<OT>
Ist ein Layer4-Switch eigentlich mehr Switch, Router oder Firewall?
</OT>
Hallo,
@StefanKittel
etwas erweitert:
brammer
@StefanKittel
hier ganz kurz und sehr vereinfacht die 7 ISO Layer
1 = Kabel
2 = Netzwerkpakete mit MAC-Adressen
3 = Netzwerkpakete mit IP-Adressen
7 = Anwendung
8 = Anwender
1 = Kabel
2 = Netzwerkpakete mit MAC-Adressen
3 = Netzwerkpakete mit IP-Adressen
7 = Anwendung
8 = Anwender
etwas erweitert:
7 = Anwendung
4-7 = hier haben die Softwareentwickler Platz sich auszutoben und es verkehrt zu machen.....brammer
Zitat von @brammer:
Was dann folglich bei Layer 8 zu vermehrtem Aspirinkosum führt 7 = Anwendung
4-7 = hier haben die Softwareentwickler Platz sich auszutoben und es verkehrt zu machen.....
Hallo,
ein Layer 4 Switch ist eine reine Marketing Bezeichnung....
Switche gibt es eigentlich nur auf Layer 2.
Auf Layer 3 ist es ein Switch mit, eingeschränkter, Routingfunktionalität
Ab Layer 4 ist eine eine Firewall mit Paketfilter oder Verhaltenserkennung .... oder was auch immer das Teil laut Marketing Abteilung da angeblich kann.
brammer
Ist ein Layer4-Switch eigentlich mehr Switch, Router oder Firewall?
ein Layer 4 Switch ist eine reine Marketing Bezeichnung....
Switche gibt es eigentlich nur auf Layer 2.
Auf Layer 3 ist es ein Switch mit, eingeschränkter, Routingfunktionalität
Ab Layer 4 ist eine eine Firewall mit Paketfilter oder Verhaltenserkennung .... oder was auch immer das Teil laut Marketing Abteilung da angeblich kann.
brammer
