doubleo
Goto Top

Firewallregeln

Hallo Zusammen,

ich habe noch Schwierigkeiten in der Umsetzung von den Accesslists auf einem Cisco Switch SG3501X.

Ich möchte an folgendem Beispiel Setup gerne die Accesslists verstehen:

sg350x setup

Beschreibung:
Die Anfragen aus dem Internet sollen an den nginx Proxy Manager mit den Ports 443 u. 80 weitergeleitet werden.
Der Nginx Proxy Manager erkennt an der Domain wo er den Traffic hinrouten soll.

Das ganze funktioniert auch soweit.

Jetzt möchte ich aber auf dem Cisco nur die Ports 8001 (für die Nextcloud) und den Port 443 aus dem Internet in dem VLAN 2 (192.168.2.0) freigeben.

Wie müssen die dazugehörigen IPv4-Based ACE Einstellungen auf dem Cisco aussehen?

ACL VLAN 1 (Permit Any)
Priority Action Logging Protocol Source IP Address Source Wildcard Mask Destination IP Address Destination Wildcard Mask Source Port Destination Port
10 Permit Disabled TCP Any Any 192.168.1.10 0.0.0.0 8001 8001
12 Permit Disabled TCP 192.168.2.1 0.0.0.0 192.168.1.10 0.0.0.0 8001 8001
20 Deny Disabled Any (IP) Any Any Any Any


ACL VLAN 2 (Permit Any)
Priority Action Logging Protocol Source IP Address Source Wildcard Mask Destination IP Address Destination Wildcard Mask Source Port Destination Port
10 Permit Disabled TCP Any Any 192.168.2.1 0.0.0.0 443 443
12 Permit Disabled TCP 192.168.2.1 0.0.0.0 192.168.1.10 0.0.0.0 8001 8001
20 Deny Disabled Any (IP) Any Any Any Any

Content-ID: 666607

Url: https://administrator.de/contentid/666607

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

90948
90948 10.05.2021 um 18:53:53 Uhr
Goto Top
Hi,

ich denke dein Source Port muss auf "any" stehen. Kontrolliere hierzu mal den Verbindungsaufbau in den Logs der pfSense. Wenn diese mit einem anderen Source Port kommt (was höchstwahrscheinlich ist, da du ansonsten nur 1 Verbindung aufbauen könntest) funzen deine Regeln so nicht.

Gruß
it-fraggle
it-fraggle 10.05.2021 um 20:20:18 Uhr
Goto Top
Verbindungen vom Client werden immer mit einem Soure-Port oberhalb der "well known ports" verwendet und welcher das genau ist regelt der Client selbst. Du musst den Source Port auf any umstellen, sonst wird das nichts.
NixVerstehen
NixVerstehen 10.05.2021 um 20:32:02 Uhr
Goto Top
Bin zwar absoluter Laie bei ACL's, aber auf eine Firewall-Logik übertragen wäre doch in der ACL VLAN 1 die Zeile 2 sinnlos, da doch schon die Zeile 1 die Bedingung von Zeile 2 erfüllt. Oder irre ich da?
commodity
commodity 11.05.2021 um 00:09:29 Uhr
Goto Top
Ich schließe mich an. Ich würde auch die Source Ports umstellen und in VLAN1 Regel 2 rausnehmen. Oder Regel 1, wenn definitiv nur Traffic vom Proxy-Manager zur Nextcloud durch soll. Dann kommt aber wohl auch vom internen Netz nichts mehr zur Nextcloud durch.
doubleo
doubleo 11.05.2021 um 17:37:01 Uhr
Goto Top
Bin jetzt einen wesentlichen Schritt weiter. Danke für die zahlreichen Tipps.
Habe vollgendes Ergebnis und bin damit zufrieden:

ACL VLAN 1 (Permit Any)
Priority Action Logging Protocol Source IP Address Source Wildcard Mask Destination IP Address Destination Wildcard Mask Source Port Destination Port
10 Permit Disabled TCP Any Any 192.168.1.10 0.0.0.0 8001 8001
12 Permit Disabled TCP 192.168.2.1 0.0.0.0 192.168.1.10 0.0.0.0 8001 8001
20 Deny Disabled Any (IP) Any Any 192.168.0.0 0.0.255.255

Ein wesentlicher Fehler war, dass ich bei der Source Wildcard Mask die Negotiation-Mask auf 0.0.0.255 hatte und mich gewundert habe warum ich mit einer anderen IP als 192.168.2.1 trotzdem an die Nextcloud kam.

Bei der Deny-Regel noch eine Frage:
Macht es Sinn alles, außer den Transfer zwischen nginx Proxy Manager (Port: 443/80) und Nextcloud (Port: 8001) zu verbieten?

In der obigen Regel habe ich jetzt nur meine internes Netz Deny"ied"

ist die Deny-Regel:
20 Deny Disabled Any (IP) Any Any Any Any

zu viel des "Guten"?
commodity
commodity 12.05.2021 um 21:57:57 Uhr
Goto Top
Zitat von @doubleo:

Ein wesentlicher Fehler war, dass ich bei der Source Wildcard Mask die Negotiation-Mask auf 0.0.0.255 hatte

Das hast Du oben nicht abgebildet und die oben abgebildete Regel erscheint mir sinnvoller, weil absolut.
148523
148523 14.05.2021, aktualisiert am 16.05.2021 um 15:01:34 Uhr
Goto Top
Es gilt immer ein implizites Default "Deny any any" am Schluss jeder ACL ! Es ist also doppelt gemoppelt und bringt nichts das nochmals zu konfigurieren.
https://www.cisco.com/c/de_de/support/docs/smb/switches/cisco-350-series ...
doubleo
doubleo 15.05.2021 um 20:26:07 Uhr
Goto Top
Du hast mich glaube ich auf ein weiteres Verständnis gebracht.
Beim ACL-Binding habe ich immer permit any eingestellt.

Sinnvoller wäre ja dann „deny any“ um die Regeln in deiner beschriebenen Logik zu erhalten.

Hatte diese ACL-Binding gar nicht auf dem Schirm
90948
90948 17.05.2021 um 08:02:38 Uhr
Goto Top
Hi,

bei den meisten ACL ist das richtig. Ein Fehler ist dies jedoch nicht, da Mikrotik z.B. dies nicht hat. Die lassen den Datenverkehr durch. Daher ist es schon sinnvoll eine solche Regel zu setzen.

Gruß