Packet-tracer zum testen einer ACL ip
Hi,
wie teste ich den Durchgang:
access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Meine Idee:
packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0
Das Problem:
Es gibt eine ACL die ICMP any any erlaubt
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Aber wie teste die das ganze ??
wie teste ich den Durchgang:
access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Meine Idee:
packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0
Das Problem:
Es gibt eine ACL die ICMP any any erlaubt
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Aber wie teste die das ganze ??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264278
Url: https://administrator.de/forum/packet-tracer-zum-testen-einer-acl-ip-264278.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
Oder der Klassiker GNS3 geht auch, denn damit kannst du dir original ACL konfigurieren:
http://www.gns3.com
show access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
http://www.gns3.com
Es gibt eine ACL die ICMP any any erlaubt
Gut...wo ist hier jetzt die Frage ? ICMP ist nicht IP !! Weisst du ja vermutlich selbershow access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Das liegt aber an dir selber ! Du musst natürlich ein,al ICMP Test verwenden (Ping, Traceroute etc.) und die andere Liste eben mit IP. Da nimmst du dann Telnet. HTTP oder sowas. Wo ist also dein Problem ?Mir ist nicht ganz klar, was die ACL erlaubt ?!
Solltest du aber wenn DU die ACL erstellt hast ?!?Eine ICMP ACL betrifft einzig und allein ICMP Traffic, eine IP ACL betrifft allen IP basierten Traffic....ganz einfach !!
Beispiel:
deny ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
permit any any
Verbietet z.B. alles was einen Absender IP mit 10.x.x.x hat und als Zieladresse was mit 10.1.1.x hat und erlaubt den gesamten Rest.
Umgedreht:
permit ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Erlaubt nur Pakete hier mit einer Absender IP von 10.x.x.x hat und als Zieladresse 10.1.1.x hat und verbietet den gesamten Rest ( deny any any ist immer Default am Ende einer "permit" ACL
Bei "icmp" gelten die Regel dann eben halt nur für ICMP Traffic, denn wie jeder Netzwerker weiss ist ICMP ein eigenes Protokoll !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Okay... habe mich echt verunsichert gefühlt -.-
Warum das denn ??Ich habe die ACL nicht erstellt.
Was soll uns das jetzt sagen ?? Als Rechtfertigung das du einfach deinen Hausaufgaben nicht gemacht hast und mal das Handbuch oder die Cisco Accesslisten Anleitung gelesen hast ??http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-c ...
Was ICMP ist weiß ich...
Hört sich aber nach Art deiner Fragestellung zu urteilen nicht wirklich so an...sorry.Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste
Ahem....ICMP hat gar keinen "Protocol Port" ! Oder was meinst du mit der ominösen Bezeichnung ??Bin mir aber nicht ganz sicher was IP-basierter Traffic ist...
Das ist in der Regel natürlich alles was zur IP Protocol Suite gehört, aber der Cisco differenziert noch nach dem Protocol Typ also ob ICMP, ARP, TCP, UDP, ESP, GRE die nicht zum Typ 0x800 gehören. Die möchte er gern immer extra definieren Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?
Oh doch ! Eine sehr große sogar ! Der Cisco ist hier sehr pedantisch wie sich das mal so gehört bei ACLs.Aber alles was du eben nicht explizit angibst ignoriert er dann auch. ICMP und IP ist für ihn aber unterschiedlich, deshalb will er es genau wissen.
Wenn du ICMP nicht explizit angibst werden sie durch IP ACLs nicht erfasst, da anderer Protokoll Typ.