CISCO switches access-list ssh
Guten Morgen Admin-Gemeinde,
ich habe mal wieder einen Knoten im Hirn und suche hier nach Hilfe.
Ich habe auf einem Switch eine bestehende access list und möchte zwei weitere hosts für den ssh remote access berechtigen....bin der Meinung das passt so, aber wenn ich mich versuche zu verbinden, bekomme ich die fehlermeldung "network connection refused"
Es geht um die Hosts 192.168.0.31 und 192.168.0.160 die zusätzlich NEU per ssh Zugang bekommen sollen.
Was muss ich tun, damit das sauber funktioniert?
Grüße
oscarpapa
ich habe mal wieder einen Knoten im Hirn und suche hier nach Hilfe.
Ich habe auf einem Switch eine bestehende access list und möchte zwei weitere hosts für den ssh remote access berechtigen....bin der Meinung das passt so, aber wenn ich mich versuche zu verbinden, bekomme ich die fehlermeldung "network connection refused"
Es geht um die Hosts 192.168.0.31 und 192.168.0.160 die zusätzlich NEU per ssh Zugang bekommen sollen.
access-list 10 permit 192.168.0.31
access-list 10 permit 192.168.0.160
access-list 11 deny any log
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.240 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq telnet log-input
access-list 100 deny tcp any any range 0 65535 log-input
access-list 100 deny ip any any log-input
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq telnet log-input
access-list 100 permit tcp host 192.168.0.160 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.31 host 0.0.0.0 eq 22 log-input
Was muss ich tun, damit das sauber funktioniert?
Grüße
oscarpapa
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6240639666
Url: https://administrator.de/forum/cisco-switches-access-list-ssh-6240639666.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Deine ACL Angabe ist etwas verwirrend, da sowohl in deiner ACL 10 als auch in deiner ACL 100 diese beiden Hosts auftauchen und eine zielführende Hilfe so nur schwer möglich ist ohne wild zu rumzuraten. Du machst leider keinerlei Angaben WELCHE der beiden ACLs WO (Interface) zum Einsatz kommen.
Kristallkugel sagt das es vermutlich ein L3 Switch ist der VLANs routet?!
Die ACL 100 beinhaltet zudem syntaktische Fehler. Eine IP Hostadresse 0.0.0.0 bei SSH ist ziemlich sinnfrei.
Auch ist die ACL 11 etwas unsinnig, da ein explizites Deny any any immer Standard am Ende einer ACL ist.
Ist das ein IOS basierter Switch (Catalyst etc.) oder einer aus der CBS oder SG Billigschiene? Auch dazu machst du leider keinerlei helfende Angaben.
Grundlagen zur Absicherung des SSH Zugangs findest du, wie immer, im Cisco Tutorial.
Ggf. ist auch der folgende Thread hilfreich für deine Lösung:
Accesslisten Setup auf Layer 3 Switch
Kristallkugel sagt das es vermutlich ein L3 Switch ist der VLANs routet?!
Die ACL 100 beinhaltet zudem syntaktische Fehler. Eine IP Hostadresse 0.0.0.0 bei SSH ist ziemlich sinnfrei.
Auch ist die ACL 11 etwas unsinnig, da ein explizites Deny any any immer Standard am Ende einer ACL ist.
Ist das ein IOS basierter Switch (Catalyst etc.) oder einer aus der CBS oder SG Billigschiene? Auch dazu machst du leider keinerlei helfende Angaben.
Grundlagen zur Absicherung des SSH Zugangs findest du, wie immer, im Cisco Tutorial.
Ggf. ist auch der folgende Thread hilfreich für deine Lösung:
Accesslisten Setup auf Layer 3 Switch
Somit alles weg
Sehr vernünftig! 👍Dann noch zu logging Zwecken die eigentlich unnötige
Die ist in der Tat so als getrennte ACL völlig unnötig und auch überflüssig, denn du kannst ja keine 2 ACLs an einem Port aktivieren. Das Logging von unauthorisierten Mgmt Zugriffen soll ja immer ACL 10 bezogen passieren was mit der o.a. separaten 11er ACL nicht funktioniert. Es muss also immer innerhalb eines ACL Indexes und damit immer innerhalb einer ACL passieren. Die völlig separate ACL 11 kennt ja deine Permit Statements gar nicht!Konfigtechnisch richtig wäre also...
access-list 10 permit 192.168.0.31 0.0.0.255
access-list 10 permit 192.168.0.160 0.0.0.255
access-list 10 deny any log
Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen...
Wahre Worte! Vorher in Ruhe nachdenken hilft da also! 😉