4
CISCO switches access-list ssh
Guten Morgen Admin-Gemeinde,
ich habe mal wieder einen Knoten im Hirn und suche hier nach Hilfe.
Ich habe auf einem Switch eine bestehende access list und möchte zwei weitere hosts für den ssh remote access berechtigen....bin der Meinung das passt so, aber wenn ich mich versuche zu verbinden, bekomme ich die fehlermeldung "network connection refused"
Es geht um die Hosts 192.168.0.31 und 192.168.0.160 die zusätzlich NEU per ssh Zugang bekommen sollen.
Was muss ich tun, damit das sauber funktioniert?
Grüße
oscarpapa
ich habe mal wieder einen Knoten im Hirn und suche hier nach Hilfe.
Ich habe auf einem Switch eine bestehende access list und möchte zwei weitere hosts für den ssh remote access berechtigen....bin der Meinung das passt so, aber wenn ich mich versuche zu verbinden, bekomme ich die fehlermeldung "network connection refused"
Es geht um die Hosts 192.168.0.31 und 192.168.0.160 die zusätzlich NEU per ssh Zugang bekommen sollen.
access-list 10 permit 192.168.0.31
access-list 10 permit 192.168.0.160
access-list 11 deny any log
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.240 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq telnet log-input
access-list 100 deny tcp any any range 0 65535 log-input
access-list 100 deny ip any any log-input
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq telnet log-input
access-list 100 permit tcp host 192.168.0.160 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.31 host 0.0.0.0 eq 22 log-inputWas muss ich tun, damit das sauber funktioniert?
Grüße
oscarpapa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6240639666
Url: https://administrator.de/contentid/6240639666
Printed on: April 27, 2024 at 21:04 o'clock
4 Comments
Latest comment
Deine ACL Angabe ist etwas verwirrend, da sowohl in deiner ACL 10 als auch in deiner ACL 100 diese beiden Hosts auftauchen und eine zielführende Hilfe so nur schwer möglich ist ohne wild zu rumzuraten. Du machst leider keinerlei Angaben WELCHE der beiden ACLs WO (Interface) zum Einsatz kommen.
Kristallkugel sagt das es vermutlich ein L3 Switch ist der VLANs routet?!
Die ACL 100 beinhaltet zudem syntaktische Fehler. Eine IP Hostadresse 0.0.0.0 bei SSH ist ziemlich sinnfrei.
Auch ist die ACL 11 etwas unsinnig, da ein explizites Deny any any immer Standard am Ende einer ACL ist.
Ist das ein IOS basierter Switch (Catalyst etc.) oder einer aus der CBS oder SG Billigschiene? Auch dazu machst du leider keinerlei helfende Angaben.
Grundlagen zur Absicherung des SSH Zugangs findest du, wie immer, im Cisco Tutorial.
Ggf. ist auch der folgende Thread hilfreich für deine Lösung:
Accesslisten Setup auf Layer 3 Switch
Kristallkugel sagt das es vermutlich ein L3 Switch ist der VLANs routet?!
Die ACL 100 beinhaltet zudem syntaktische Fehler. Eine IP Hostadresse 0.0.0.0 bei SSH ist ziemlich sinnfrei.
Auch ist die ACL 11 etwas unsinnig, da ein explizites Deny any any immer Standard am Ende einer ACL ist.
Ist das ein IOS basierter Switch (Catalyst etc.) oder einer aus der CBS oder SG Billigschiene? Auch dazu machst du leider keinerlei helfende Angaben.
Grundlagen zur Absicherung des SSH Zugangs findest du, wie immer, im Cisco Tutorial.
Ggf. ist auch der folgende Thread hilfreich für deine Lösung:
Accesslisten Setup auf Layer 3 Switch
Gelöst?! Wo lag denn nun dein Fehler?
Feedback...der tiefere Sinn eines Forums, aber nundenn.
Feedback...der tiefere Sinn eines Forums, aber nundenn.
@aqui:
Ich hab alle access-lists entfernt, da waren zuviele Sachen von Vorgängern drin, die ich (wie du schon geschrieben hast) auch sehr verwirrend fand.
Somit alles weg und
gesetzt.
Dann noch zu logging Zwecken die eigentlich unnötige
gesetzt.
Damit funktioniert es sauber.
Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen... :D
Ich hab alle access-lists entfernt, da waren zuviele Sachen von Vorgängern drin, die ich (wie du schon geschrieben hast) auch sehr verwirrend fand.
Somit alles weg und
access-list 10 permit 192.168.0.31 0.0.0.255
access-list 10 permit 192.168.0.160 0.0.0.255 Dann noch zu logging Zwecken die eigentlich unnötige
access-list 11 deny any logDamit funktioniert es sauber.
Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen... :D
Somit alles weg
Sehr vernünftig! 👍Dann noch zu logging Zwecken die eigentlich unnötige
Die ist in der Tat so als getrennte ACL völlig unnötig und auch überflüssig, denn du kannst ja keine 2 ACLs an einem Port aktivieren. Das Logging von unauthorisierten Mgmt Zugriffen soll ja immer ACL 10 bezogen passieren was mit der o.a. separaten 11er ACL nicht funktioniert. Es muss also immer innerhalb eines ACL Indexes und damit immer innerhalb einer ACL passieren. Die völlig separate ACL 11 kennt ja deine Permit Statements gar nicht!Konfigtechnisch richtig wäre also...
access-list 10 permit 192.168.0.31 0.0.0.255
access-list 10 permit 192.168.0.160 0.0.0.255
access-list 10 deny any log Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen...
Wahre Worte! Vorher in Ruhe nachdenken hilft da also! 😉