Layer 3 ACL Verhalten
Hallo,
mal eine kurze Frage zu ACLs, ich glaube ich habe da gerade ein Verständnis-Problem oder ich werfe etwas durcheinander.
Beispiel:
VLAN 10 => 192.168.10.0/24
VLAN 20 => 192.168.20.0/24
Ziel: VLAN 10 soll alles machen dürfen, darf sich überall hin verbinden einschließlich VLAN 20. Letztere allerdings dürfen sich nur zu bestimmter IP in VLAN 10 verbinden.
ACL
Ich lasse also gezielt alle Protokolle nur an den Host 192.168.10.10 zu. Korrekt?
ACLs wurden jeweils mit IN auf die VLANs gesetzt.
Warum kann ich dann aber aus VLAN 10 die Hosts in VLAN20 selbst nicht erreichen? Werden die Rückpakete ebenfalls blockiert? Muss ich diese explizit erlauben?
Gruß
mal eine kurze Frage zu ACLs, ich glaube ich habe da gerade ein Verständnis-Problem oder ich werfe etwas durcheinander.
Beispiel:
VLAN 10 => 192.168.10.0/24
VLAN 20 => 192.168.20.0/24
Ziel: VLAN 10 soll alles machen dürfen, darf sich überall hin verbinden einschließlich VLAN 20. Letztere allerdings dürfen sich nur zu bestimmter IP in VLAN 10 verbinden.
ACL
ip access-list extended acl10
sequence 10 permit ip any any
!
ip access-list extended acl20
sequence 10 permit ip any host 192.168.10.10
!
Ich lasse also gezielt alle Protokolle nur an den Host 192.168.10.10 zu. Korrekt?
ACLs wurden jeweils mit IN auf die VLANs gesetzt.
Warum kann ich dann aber aus VLAN 10 die Hosts in VLAN20 selbst nicht erreichen? Werden die Rückpakete ebenfalls blockiert? Muss ich diese explizit erlauben?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7467121106
Url: https://administrator.de/forum/layer-3-acl-verhalten-7467121106.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
9 Kommentare
Neuester Kommentar
Die VLAN 10 ACL ist auch überflüssig, denn any any ist ja immer default.
Kollege @spirti-of_eli hat es schon gesagt: ACLs sind nicht stateful und es gilt deshalb immer auch den Rückweg zu betrachten!
Um bei deinem Beispiel oben zu bleiben das der VLAN 10 Host .10 aus dem VLAN 20 erreichbar sein soll kann man das oben so machen, allerdings sind diese ACLs etwas oberflächlich und nicht wirklich wasserdicht.
Besser wäre:
Option 1:
ip access-list extended acl20
sequence 10 permit ip 192.168.20.0 0.0.0.255 host 192.168.10.10
!
Noch besser:
Option 2:
ip access-list extended acl20
sequence 10 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.10 eq established
!
Letztere bewirkt das auch nur Pakete mit gesetztem ACK Bit, also nur Antwort (Rück) Traffic aus dem VLAN 20 passieren darf.
Beide Optionen schaffen mehr Sicherheit als deine nicht ganz so wasserdichte ACL.
Kollege @spirti-of_eli hat es schon gesagt: ACLs sind nicht stateful und es gilt deshalb immer auch den Rückweg zu betrachten!
Um bei deinem Beispiel oben zu bleiben das der VLAN 10 Host .10 aus dem VLAN 20 erreichbar sein soll kann man das oben so machen, allerdings sind diese ACLs etwas oberflächlich und nicht wirklich wasserdicht.
- VLAN 10 ACL überflüssig, da any any immer Default
- VLAN 20 ACL unsicher, da sie auch fremde Absender IPs zulässt und das auch alle Clients im VLAN 20 Sessions zum Host .10.10 aktiv aufbauen können was ggf. nicht gewollt ist.
Besser wäre:
Option 1:
ip access-list extended acl20
sequence 10 permit ip 192.168.20.0 0.0.0.255 host 192.168.10.10
!
Noch besser:
Option 2:
ip access-list extended acl20
sequence 10 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.10 eq established
!
Letztere bewirkt das auch nur Pakete mit gesetztem ACK Bit, also nur Antwort (Rück) Traffic aus dem VLAN 20 passieren darf.
Beide Optionen schaffen mehr Sicherheit als deine nicht ganz so wasserdichte ACL.
Wie wird die ACL angewendet, den da bin ich bei ICX etwas verwirrt.
Es ist identisch zu Cisco und auch zu anderen Herstellern.- Generell sollte man ACLs immer inbound benutzen, sprich also vom Netzwerkdraht IN das Interface hinein. Letztlich bestimmt man die Rule ob die ACL in- oder outbound angewendet wird mit dem Kommando was die ACL dem L3 Interface zuweiset. Outbound Rule gilt es aber aus 2 wichtigen Gründen immer zu vermeiden:
- In (fast) allen Switches werden Outbound Regeln über die CPU abgewickelt, kosten also im Gegensatz zu Inbound regeln (Asic) erheblich Switchperformance.
- Ungewollten Traffic will man nicht schon auf der Backplane haben bevor man ihn blockt. D.h. outbound Regeln sind fast immer überflüssig.
- Grundregel innerhalb der ACL ist immer: "First match wins!". Also der erste positive Hit im ACL Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge im Regelwerk zählt also!!
Deine ACL Regel auf die VLAN Definition selber zu setzen ist unsinnig. Das klappt nicht weil der Switch im L2 Mode an den Memberports gar nicht bis zum Layer 3 "sieht". Dort interessiert ihn nur L2 also Mac Adressen.
Eine solche Regel muss natürlich immer auf das L3 Router Interface gesetzt sein!
Du hast natürlich Recht! Sorry, war auf der Cisco Schiene hängen geblieben.
Bei Ruckus wird die ACL in der VLAN Definition aktiviert und nicht auf dem L3 Interface.
Hier eine Beispiel ACL die den Zugriff auf den Host 192.168.188.1 blockiert.
vlan 99 name VLAN99 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/43 to 1/1/44
router-interface ve 99
spanning-tree 802-1w
ip access-group testacl in
!
vlan 188 name VLAN188 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/13 to 1/1/18 ethe 1/2/1 to 1/2/2
router-interface ve 188
spanning-tree 802-1w
!
interface ve 99
ip address 10.99.1.222 255.255.255.0
!
interface ve 188
ip address 192.168.188.3 255.255.255.192
!
ip access-list extended testacl
sequence 10 deny ip any host 192.168.188.1
sequence 20 permit ip any any
!
Die ACL Logik an sich ist identisch zu Cisco und der allen anderen Hersteller.
Sorry für den Konfig Fauxpas.
Bei Ruckus wird die ACL in der VLAN Definition aktiviert und nicht auf dem L3 Interface.
Hier eine Beispiel ACL die den Zugriff auf den Host 192.168.188.1 blockiert.
vlan 99 name VLAN99 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/43 to 1/1/44
router-interface ve 99
spanning-tree 802-1w
ip access-group testacl in
!
vlan 188 name VLAN188 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/13 to 1/1/18 ethe 1/2/1 to 1/2/2
router-interface ve 188
spanning-tree 802-1w
!
interface ve 99
ip address 10.99.1.222 255.255.255.0
!
interface ve 188
ip address 192.168.188.3 255.255.255.192
!
ip access-list extended testacl
sequence 10 deny ip any host 192.168.188.1
sequence 20 permit ip any any
!
Die ACL Logik an sich ist identisch zu Cisco und der allen anderen Hersteller.
Sorry für den Konfig Fauxpas.
Wenn es das denn war bitte deinen Thread dann als erledigt schliessen.