synex-m
Goto Top

Cisco SG300 ACLs einrichten

Hallo zusammen,


Ich habe folgendes Netzwerk (nur ein Beispiel) bzw. es gibt folgende VLANs deren Zugriff reglementiert werden soll:

6deb3b257fd0c4488da0ea5e4477a929

Ich habe nun ACLs definiert:

VLAN2
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN3
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN4
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN5
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN6
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
permit any any


(Da ich nur rudimentäre Kenntnisse von ACLs besitze) würde man so die Zugriffsbeschränkungen definieren? Ich habe z.B gelesen, dass es besser wäre per se erst einmal alles zu verbieten (deny any any). In dem Fall habe ich keinen Internetzugang mehr (Router ist in VLAN1).

Eine grundlegende Frage stellt sich mir auch noch. Mir ist nicht ganz klar: Kann ich nur den ausgehenden Verkehr verbieten also z.b deny any 192.168.4.0? Denn umgekehrt deny 192.168.4.0 any funktioniert nicht. Hat keine Wirkung?

Hoffe ihr könnt mir weiterhelfen und ein paar Tipps geben.

Viele Grüße

Content-ID: 207807

Url: https://administrator.de/forum/cisco-sg300-acls-einrichten-207807.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

adminst
adminst 11.06.2013 um 11:04:58 Uhr
Goto Top
Hallo
Erstmal danke für die Übersichtliche Darstellung.
Ich frage mich wieso du nicht die ACLs über die Firewall definierst.
Dort könntest du sauber von Denny all aufarbeiten bis du alles sauber hast und könntest alles andere auch definieren...

Gruss
adminst
synex-m
synex-m 11.06.2013 um 11:41:41 Uhr
Goto Top
Leider habe ich keine Firewall. Die ACLs definiere ich beim Switch (Layer 3 Modus).
keksdieb
keksdieb 11.06.2013 um 12:47:22 Uhr
Goto Top
Moin moin,

ein permit ip any any ist ansich schonmal der falsche Ansatz, da du damit jeglichen Datenverkehr erlaubst (natürlich ausgenommen der Range, die du expliziet verbietest)

Meiner Meinung wäre der bessere Ansatz die erlaubten Netze explizit festzulegen und dann ein deny any any zu machen.

kleines Beispiel:
VLAN 2
permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip any any

wichtig ist es dann natürlich die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird.

Gruß Keks

P.S.: das deny any any am ende kannst du dir sparen, da Cisco in einer ACL am ende der Regelkette ein implizites deny any any hat.
synex-m
synex-m 11.06.2013 um 13:34:09 Uhr
Goto Top
Danke für deine Antwort.
Hatte bereits versucht die ACLs so zu definieren, wie du es beschreibst. In dem Fall kann ich allerdings keine Webseiten mehr aus den VLANs 2,3,4,5,6 erreichen :S

Eventuell ist das der springende Punkt: "die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird"? Nur weiß ich nicht, wie ich das erreichen kann?
keksdieb
keksdieb 11.06.2013 aktualisiert um 15:03:49 Uhr
Goto Top
Auf dem Interface Vlan 2 sollte ein "access-group ACL-Name in" reichen.

Will jetzt das Datenpaket von Vlan 2 ins Vlan X, passiert es als erstes die ACL und wird danach erst ins Netzwerk weiter gegeben.
Das du Webseiten in allen anderen Vlans aufrufen möchtest stand aber nicht in deiner Frage, oder?

Gruß Keks
synex-m
synex-m 11.06.2013 um 15:34:32 Uhr
Goto Top
Indirekt. Also die VLANs 2,3,4,5,6 sollen schon einen Internetzugang über den Router, der sich in VLAN1 befindet, bekommen. Nur wenn ich alles blockiere und nur 192.168.1.0 freigebe reicht das anscheinend nicht, um jedem VLAN Zugang zu gewähren.

Vielleicht noch zum Aufbau des Netzes: Der Switch (im Layer 3 Modus) befindet sich hinter dem Router (0815 Router, FritzBox). Auf dem Router sind Routen in die entsprechenden Subnetze eingetragen. Interfaces und VLANs sind am Switch eingetragen. Dort definiere ich auch die ACLs.
aqui
aqui 11.06.2013 um 17:54:05 Uhr
Goto Top
Bei den ACLs gilt immer "First Match wins" !
Das heist die erste Bedingung die stimmt bewirkt das die nachfolgenden nicht mehr abgearbeitet werden.
D.h. die Reihenfolge in den Listen ist also essentiell wichtig.
Wenn du Produktivtraffic in VLAN 1 hast ist es besser den Internet Zugang in einseparates VLAB auszulagern, damit trennst du den dann komplett von Produktiv VLANs und vereinfachts die ACL Logik.

Wenn du in deinem Szenario also Internet haben willst in den VLANs 2,3,4,5 und 6 dann musst du die DENY Statements zuerst eingeben die den Internen Zugriff regeln.
Bei VLAN 2 z.B: das nicht auf 4,5 und 6 zugreifen soll aber Intrernet Zugang haben soll sähe das beispielhaft so aus:
deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
permit any any
Achtung das gilt für eine Inbound ACL also eingehend
Generell supporten Billigswitches meist nur Inbound ACL und keine Outbound ACLs.
Das musst du im Ciso Handbuch sicher klären.
An das Layer 3 Interface int vlan x bindest du diese ACL dann mit dem Kommando ip access-group xy in als incoming ACL ("out" dann entsprechend outbound wenn der Switch das kann)
Die Syntax ist jetzt Catalyst IOS Syntax der großen Brüder vom SG Billigsegement, dürfte aber identisch sein !
synex-m
synex-m 11.06.2013 um 19:06:35 Uhr
Goto Top
@ aqui
Wenn ich dich jetzt richtig verstehe, kann ich die Regeln also so verwenden, wie ich Sie oben habe?? Die Regel für VLAN2 entspricht ja (fast) meiner obigen.

Okay..Im Cisco Forum habe ich jetzt einen Beitrag gefunden in dem steht: "Correct, there is not an inside or outside, the ACL is applied ingress only" (bezieht sich auf den SG300). Also gibt es nur eingehend.
Liest sich eine Regel dann so: Verbiete eingehenden Traffic nach 192.168.2.0 von 192.168.4.0 ?
keksdieb
keksdieb 12.06.2013 um 11:23:26 Uhr
Goto Top
Moin Synex,

der Switch kann somit nur inside ACL´s abarbeiten.

Halte dich bei der Konfiguration an das Beispiel von aqui, bei deinen Regeln fehlt das Sourcenetz...

Die Regel ließt sich dann so:
Verbiete eingehenden Traffic von 192.168.2.0 nach 192.168.4.0

Das Paket kommt am Port an, es ist also ein "incoming Paket"

Auf der Cisco Seite ist es eigentlich gut verständlich erklärt:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...

gruß Keksdieb
aqui
aqui 12.06.2013 aktualisiert um 15:27:04 Uhr
Goto Top
.@synex
Das war zu erwarten...wie gesagt bei Billigkomponenten immer nur ingress.
Die ACL Syntax liest sich dann am Beispiel:
//deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255/
so:
Verbiete Pakete mit der Absender IP 192.168.2.egal zur Ziel IP 192.168.4.egal
Also "Blocke alles was vom .2er Netz ins .4er Netz will " !
Es kommt immer erst die Source IP dann die Destination IP in einer ACL.

Damit solltest du das ja nun wasserdicht hinbekommen ?!
synex-m
synex-m 12.06.2013 um 15:48:19 Uhr
Goto Top
Alles klar.
Vielen Dank allen, die mir Tipps gegeben haben!!!