oscarpapa
Goto Top

CISCO switches access-list ssh

Guten Morgen Admin-Gemeinde,

ich habe mal wieder einen Knoten im Hirn und suche hier nach Hilfe.

Ich habe auf einem Switch eine bestehende access list und möchte zwei weitere hosts für den ssh remote access berechtigen....bin der Meinung das passt so, aber wenn ich mich versuche zu verbinden, bekomme ich die fehlermeldung "network connection refused" face-sad

Es geht um die Hosts 192.168.0.31 und 192.168.0.160 die zusätzlich NEU per ssh Zugang bekommen sollen.

access-list 10 permit 192.168.0.31
access-list 10 permit 192.168.0.160
access-list 11 deny   any log
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.240 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.249 host 0.0.0.0 eq telnet log-input
access-list 100 deny   tcp any any range 0 65535 log-input
access-list 100 deny   ip any any log-input
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.248 host 0.0.0.0 eq telnet log-input
access-list 100 permit tcp host 192.168.0.160 host 0.0.0.0 eq 22 log-input
access-list 100 permit tcp host 192.168.0.31 host 0.0.0.0 eq 22 log-input

Was muss ich tun, damit das sauber funktioniert?

Grüße
oscarpapa

Content-ID: 6240639666

Url: https://administrator.de/forum/cisco-switches-access-list-ssh-6240639666.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
Lösung aqui 04.10.2023 aktualisiert um 12:11:48 Uhr
Goto Top
Deine ACL Angabe ist etwas verwirrend, da sowohl in deiner ACL 10 als auch in deiner ACL 100 diese beiden Hosts auftauchen und eine zielführende Hilfe so nur schwer möglich ist ohne wild zu rumzuraten. Du machst leider keinerlei Angaben WELCHE der beiden ACLs WO (Interface) zum Einsatz kommen. face-sad
Kristallkugel sagt das es vermutlich ein L3 Switch ist der VLANs routet?!
Die ACL 100 beinhaltet zudem syntaktische Fehler. Eine IP Hostadresse 0.0.0.0 bei SSH ist ziemlich sinnfrei.
Auch ist die ACL 11 etwas unsinnig, da ein explizites Deny any any immer Standard am Ende einer ACL ist.

Ist das ein IOS basierter Switch (Catalyst etc.) oder einer aus der CBS oder SG Billigschiene? Auch dazu machst du leider keinerlei helfende Angaben.
Grundlagen zur Absicherung des SSH Zugangs findest du, wie immer, im Cisco Tutorial.
Ggf. ist auch der folgende Thread hilfreich für deine Lösung:
Accesslisten Setup auf Layer 3 Switch
aqui
aqui 04.10.2023 um 12:10:12 Uhr
Goto Top
Gelöst?! Wo lag denn nun dein Fehler?
Feedback...der tiefere Sinn eines Forums, aber nundenn.
oscarpapa
oscarpapa 04.10.2023 um 12:35:13 Uhr
Goto Top
@aqui:

Ich hab alle access-lists entfernt, da waren zuviele Sachen von Vorgängern drin, die ich (wie du schon geschrieben hast) auch sehr verwirrend fand.
Somit alles weg und
access-list 10 permit 192.168.0.31 0.0.0.255
access-list 10 permit 192.168.0.160 0.0.0.255 
gesetzt.
Dann noch zu logging Zwecken die eigentlich unnötige
access-list 11 deny any log
gesetzt.
Damit funktioniert es sauber.
Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen... :D
aqui
Lösung aqui 04.10.2023 aktualisiert um 16:06:58 Uhr
Goto Top
Somit alles weg
Sehr vernünftig! 👍
Dann noch zu logging Zwecken die eigentlich unnötige
Die ist in der Tat so als getrennte ACL völlig unnötig und auch überflüssig, denn du kannst ja keine 2 ACLs an einem Port aktivieren. Das Logging von unauthorisierten Mgmt Zugriffen soll ja immer ACL 10 bezogen passieren was mit der o.a. separaten 11er ACL nicht funktioniert. Es muss also immer innerhalb eines ACL Indexes und damit immer innerhalb einer ACL passieren. Die völlig separate ACL 11 kennt ja deine Permit Statements gar nicht!
Konfigtechnisch richtig wäre also...
access-list 10 permit 192.168.0.31 0.0.0.255
access-list 10 permit 192.168.0.160 0.0.0.255 
access-list 10 deny any log 
Mit diesen access-lists kann man sich echt ganz schnell selber einen "Bock" schießen...
Wahre Worte! Vorher in Ruhe nachdenken hilft da also! 😉