9
Layer 3 ACL Verhalten
Hallo,
mal eine kurze Frage zu ACLs, ich glaube ich habe da gerade ein Verständnis-Problem oder ich werfe etwas durcheinander.
Beispiel:
VLAN 10 => 192.168.10.0/24
VLAN 20 => 192.168.20.0/24
Ziel: VLAN 10 soll alles machen dürfen, darf sich überall hin verbinden einschließlich VLAN 20. Letztere allerdings dürfen sich nur zu bestimmter IP in VLAN 10 verbinden.
ACL
Ich lasse also gezielt alle Protokolle nur an den Host 192.168.10.10 zu. Korrekt?
ACLs wurden jeweils mit IN auf die VLANs gesetzt.
Warum kann ich dann aber aus VLAN 10 die Hosts in VLAN20 selbst nicht erreichen? Werden die Rückpakete ebenfalls blockiert? Muss ich diese explizit erlauben?
Gruß
mal eine kurze Frage zu ACLs, ich glaube ich habe da gerade ein Verständnis-Problem oder ich werfe etwas durcheinander.
Beispiel:
VLAN 10 => 192.168.10.0/24
VLAN 20 => 192.168.20.0/24
Ziel: VLAN 10 soll alles machen dürfen, darf sich überall hin verbinden einschließlich VLAN 20. Letztere allerdings dürfen sich nur zu bestimmter IP in VLAN 10 verbinden.
ACL
ip access-list extended acl10
sequence 10 permit ip any any
!
ip access-list extended acl20
sequence 10 permit ip any host 192.168.10.10
!Ich lasse also gezielt alle Protokolle nur an den Host 192.168.10.10 zu. Korrekt?
ACLs wurden jeweils mit IN auf die VLANs gesetzt.
Warum kann ich dann aber aus VLAN 10 die Hosts in VLAN20 selbst nicht erreichen? Werden die Rückpakete ebenfalls blockiert? Muss ich diese explizit erlauben?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7467121106
Url: https://administrator.de/contentid/7467121106
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
dein Problem besteht darin, dass die ACLs stateless sind. Daher müssen auch die Antwortpackete zugelassen werden.
Dein Vorgehen funktioniert so nur mit einer statefull FW.
Gruß
Spirit
dein Problem besteht darin, dass die ACLs stateless sind. Daher müssen auch die Antwortpackete zugelassen werden.
Dein Vorgehen funktioniert so nur mit einer statefull FW.
Gruß
Spirit
Die VLAN 10 ACL ist auch überflüssig, denn any any ist ja immer default.
Kollege @spirti-of_eli hat es schon gesagt: ACLs sind nicht stateful und es gilt deshalb immer auch den Rückweg zu betrachten!
Um bei deinem Beispiel oben zu bleiben das der VLAN 10 Host .10 aus dem VLAN 20 erreichbar sein soll kann man das oben so machen, allerdings sind diese ACLs etwas oberflächlich und nicht wirklich wasserdicht.
Besser wäre:
Option 1:
ip access-list extended acl20
sequence 10 permit ip 192.168.20.0 0.0.0.255 host 192.168.10.10
!
Noch besser:
Option 2:
ip access-list extended acl20
sequence 10 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.10 eq established
!
Letztere bewirkt das auch nur Pakete mit gesetztem ACK Bit, also nur Antwort (Rück) Traffic aus dem VLAN 20 passieren darf.
Beide Optionen schaffen mehr Sicherheit als deine nicht ganz so wasserdichte ACL.
Kollege @spirti-of_eli hat es schon gesagt: ACLs sind nicht stateful und es gilt deshalb immer auch den Rückweg zu betrachten!
Um bei deinem Beispiel oben zu bleiben das der VLAN 10 Host .10 aus dem VLAN 20 erreichbar sein soll kann man das oben so machen, allerdings sind diese ACLs etwas oberflächlich und nicht wirklich wasserdicht.
- VLAN 10 ACL überflüssig, da any any immer Default
- VLAN 20 ACL unsicher, da sie auch fremde Absender IPs zulässt und das auch alle Clients im VLAN 20 Sessions zum Host .10.10 aktiv aufbauen können was ggf. nicht gewollt ist.
Besser wäre:
Option 1:
ip access-list extended acl20
sequence 10 permit ip 192.168.20.0 0.0.0.255 host 192.168.10.10
!
Noch besser:
Option 2:
ip access-list extended acl20
sequence 10 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.10 eq established
!
Letztere bewirkt das auch nur Pakete mit gesetztem ACK Bit, also nur Antwort (Rück) Traffic aus dem VLAN 20 passieren darf.
Beide Optionen schaffen mehr Sicherheit als deine nicht ganz so wasserdichte ACL.
Ok, verstanden. Noch eine Frage:
Wie wird die ACL angewendet, den da bin ich bei ICX etwas verwirrt. In der Cisco Dokumentation (Commscope Doku ist da etwas spärlich) steht das die ACL auf der Routing Interface angewandt wird, das geht bei mir nicht. Ich kann es nur auf das komplette VLAN legen, aber da ist meine Vermutung das bei dahinter liegenden Layer-2 Switches durch das VLAN Discovery manche Sachen direkt am Untagged Port abgefangen werden. Das ist ja aber nicht das Ziel.
Beispiel:
Ich kann es nur so setzen. Wenn ich das hier versuche:
Geht nicht. Gibt es da bei den ICXen eine besondere Funktion?
Wie wird die ACL angewendet, den da bin ich bei ICX etwas verwirrt. In der Cisco Dokumentation (Commscope Doku ist da etwas spärlich) steht das die ACL auf der Routing Interface angewandt wird, das geht bei mir nicht. Ich kann es nur auf das komplette VLAN legen, aber da ist meine Vermutung das bei dahinter liegenden Layer-2 Switches durch das VLAN Discovery manche Sachen direkt am Untagged Port abgefangen werden. Das ist ja aber nicht das Ziel.
Beispiel:
vlan 20
tagged ethe 1/1/2 ethe 2/1/2 lag 1 lag 3 lag 5 lag 7 to 11
router-interface ve 20
spanning-tree
ip access-group acl20 in
!
!
interface ve 20
ip address 192.168.20.254 255.255.255.0
ip helper-address 1 192.168.10.10 unicast
!Ich kann es nur so setzen. Wenn ich das hier versuche:
int ve 20
ip access-group acl20 in Geht nicht. Gibt es da bei den ICXen eine besondere Funktion?
Schau mal in die Doku zu den ICX Switchen. Die Syntax anhält der von Cisco nicht wirklich.
Der entscheidende Abschnitt in den IPv4 ACL Guidelines scheint dieser hier zu sein:
https://docs.commscope.com/bundle/fastiron-08092-securityguide/page/GUID ...
Das funktioniert aber bei mir nicht. Ich kann einen int ve keine ACL zuordnen.
https://docs.commscope.com/bundle/fastiron-08092-securityguide/page/GUID ...
Das funktioniert aber bei mir nicht. Ich kann einen int ve keine ACL zuordnen.
Wie wird die ACL angewendet, den da bin ich bei ICX etwas verwirrt.
Es ist identisch zu Cisco und auch zu anderen Herstellern.- Generell sollte man ACLs immer inbound benutzen, sprich also vom Netzwerkdraht IN das Interface hinein. Letztlich bestimmt man die Rule ob die ACL in- oder outbound angewendet wird mit dem Kommando was die ACL dem L3 Interface zuweiset. Outbound Rule gilt es aber aus 2 wichtigen Gründen immer zu vermeiden:
- In (fast) allen Switches werden Outbound Regeln über die CPU abgewickelt, kosten also im Gegensatz zu Inbound regeln (Asic) erheblich Switchperformance.
- Ungewollten Traffic will man nicht schon auf der Backplane haben bevor man ihn blockt. D.h. outbound Regeln sind fast immer überflüssig.
- Grundregel innerhalb der ACL ist immer: "First match wins!". Also der erste positive Hit im ACL Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge im Regelwerk zählt also!!
Deine ACL Regel auf die VLAN Definition selber zu setzen ist unsinnig. Das klappt nicht weil der Switch im L2 Mode an den Memberports gar nicht bis zum Layer 3 "sieht". Dort interessiert ihn nur L2 also Mac Adressen.
Eine solche Regel muss natürlich immer auf das L3 Router Interface gesetzt sein!
@aqui
Das mit dem Inbound ist schon klar. Aber die ACL kann bei Ruckus in der Firmware-Version 08095g nicht anders gesetzt werden. Zumindest sehe ich keinen Weg und die Doku schlägt keinen anderweitgen vor.
Ich habe weiter recherchiert, siehe hier:
https://docs.commscope.com/bundle/fastiron-08095-securityguide/page/GUID ...
Das ist der einzige Weg wie man eine ACL an ein VLAN binden kann. Eben so wie ich es bereits in der Config gezeigt habe. Die goldene Frage lautet jetzt... Macht diese Funktion das selbe wie bei Cisco oder auch bei Aruba?
Ansonsten kann man diese noch an eine LAG oder an ein physisches Interface binden. Was aber beides in diesem Fall unsinnig ist. Das mit dem "First Match wins" ist auch alles klar.
Wenn meine Config unsinnig ist, wie wird es dann richtig gemacht? Welcher Aufruf ist nötig?
Über
geht es nicht. Da kann nirgends eine ACL anhängen.
Das mit dem Inbound ist schon klar. Aber die ACL kann bei Ruckus in der Firmware-Version 08095g nicht anders gesetzt werden. Zumindest sehe ich keinen Weg und die Doku schlägt keinen anderweitgen vor.
Ich habe weiter recherchiert, siehe hier:
https://docs.commscope.com/bundle/fastiron-08095-securityguide/page/GUID ...
Das ist der einzige Weg wie man eine ACL an ein VLAN binden kann. Eben so wie ich es bereits in der Config gezeigt habe. Die goldene Frage lautet jetzt... Macht diese Funktion das selbe wie bei Cisco oder auch bei Aruba?
Ansonsten kann man diese noch an eine LAG oder an ein physisches Interface binden. Was aber beides in diesem Fall unsinnig ist. Das mit dem "First Match wins" ist auch alles klar.
Wenn meine Config unsinnig ist, wie wird es dann richtig gemacht? Welcher Aufruf ist nötig?
Über
interface ve 10geht es nicht. Da kann nirgends eine ACL anhängen.
Du hast natürlich Recht! Sorry, war auf der Cisco Schiene hängen geblieben.
Bei Ruckus wird die ACL in der VLAN Definition aktiviert und nicht auf dem L3 Interface.
Hier eine Beispiel ACL die den Zugriff auf den Host 192.168.188.1 blockiert.
vlan 99 name VLAN99 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/43 to 1/1/44
router-interface ve 99
spanning-tree 802-1w
ip access-group testacl in
!
vlan 188 name VLAN188 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/13 to 1/1/18 ethe 1/2/1 to 1/2/2
router-interface ve 188
spanning-tree 802-1w
!
interface ve 99
ip address 10.99.1.222 255.255.255.0
!
interface ve 188
ip address 192.168.188.3 255.255.255.192
!
ip access-list extended testacl
sequence 10 deny ip any host 192.168.188.1
sequence 20 permit ip any any
!
Die ACL Logik an sich ist identisch zu Cisco und der allen anderen Hersteller.
Sorry für den Konfig Fauxpas.
Bei Ruckus wird die ACL in der VLAN Definition aktiviert und nicht auf dem L3 Interface.
Hier eine Beispiel ACL die den Zugriff auf den Host 192.168.188.1 blockiert.
vlan 99 name VLAN99 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/43 to 1/1/44
router-interface ve 99
spanning-tree 802-1w
ip access-group testacl in
!
vlan 188 name VLAN188 by port
tagged ethe 1/3/2 ethe 1/3/4
untagged ethe 1/1/13 to 1/1/18 ethe 1/2/1 to 1/2/2
router-interface ve 188
spanning-tree 802-1w
!
interface ve 99
ip address 10.99.1.222 255.255.255.0
!
interface ve 188
ip address 192.168.188.3 255.255.255.192
!
ip access-list extended testacl
sequence 10 deny ip any host 192.168.188.1
sequence 20 permit ip any any
!
Die ACL Logik an sich ist identisch zu Cisco und der allen anderen Hersteller.
Sorry für den Konfig Fauxpas.
1
Wenn es das denn war bitte deinen Thread dann als erledigt schliessen.
