haiqualle
Goto Top

Packet-tracer zum testen einer ACL ip

Hi,

wie teste ich den Durchgang:

access-list NAME ext ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0

Meine Idee:

packet-tracer input inside ipraw 10.0.0.0 1 10.1.1.0

Das Problem:

Es gibt eine ACL die ICMP any any erlaubt

diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...

Aber wie teste die das ganze ??

Content-ID: 264278

Url: https://administrator.de/forum/packet-tracer-zum-testen-einer-acl-ip-264278.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

aqui
aqui 23.02.2015 um 13:20:14 Uhr
Goto Top
Oder der Klassiker GNS3 geht auch, denn damit kannst du dir original ACL konfigurieren:
http://www.gns3.com
Es gibt eine ACL die ICMP any any erlaubt
Gut...wo ist hier jetzt die Frage ? ICMP ist nicht IP !! Weisst du ja vermutlich selber
show access-list zeigt dir die Hits. Zur Not machst du ein debug access-list um ganz sicher zu gehen.
diese wird zuerst gematcht und somit habe ich kein aussagekräftiges Ergebnis...
Das liegt aber an dir selber ! Du musst natürlich ein,al ICMP Test verwenden (Ping, Traceroute etc.) und die andere Liste eben mit IP. Da nimmst du dann Telnet. HTTP oder sowas. Wo ist also dein Problem ?
haiqualle
haiqualle 23.02.2015 um 13:55:48 Uhr
Goto Top
...

Mir ist nicht ganz klar, was die ACL erlaubt ?!

Wie ist der genaue Befehl zum prüfen einer ACL ip ?

Vielen Dank
aqui
aqui 23.02.2015 aktualisiert um 19:00:49 Uhr
Goto Top
Mir ist nicht ganz klar, was die ACL erlaubt ?!
Solltest du aber wenn DU die ACL erstellt hast ?!?
Eine ICMP ACL betrifft einzig und allein ICMP Traffic, eine IP ACL betrifft allen IP basierten Traffic....ganz einfach !!

Beispiel:
deny ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
permit any any

Verbietet z.B. alles was einen Absender IP mit 10.x.x.x hat und als Zieladresse was mit 10.1.1.x hat und erlaubt den gesamten Rest.
Umgedreht:
permit ip 10.0.0.0 255.0.0.0 10.1.1.0 255.255.255.0
Erlaubt nur Pakete hier mit einer Absender IP von 10.x.x.x hat und als Zieladresse 10.1.1.x hat und verbietet den gesamten Rest ( deny any any ist immer Default am Ende einer "permit" ACL
Bei "icmp" gelten die Regel dann eben halt nur für ICMP Traffic, denn wie jeder Netzwerker weiss ist ICMP ein eigenes Protokoll !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
haiqualle
haiqualle 23.02.2015 um 19:16:03 Uhr
Goto Top
Okay... habe mich echt verunsichert gefühlt -.-

Ich habe die ACL nicht erstellt.

Was ICMP ist weiß ich... Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste face-big-smile


Bin mir aber nicht ganz sicher was IP-basierter Traffic ist... Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?

Grüße
aqui
aqui 23.02.2015 um 21:36:12 Uhr
Goto Top
Okay... habe mich echt verunsichert gefühlt -.-
Warum das denn ??
Ich habe die ACL nicht erstellt.
Was soll uns das jetzt sagen ?? Als Rechtfertigung das du einfach deinen Hausaufgaben nicht gemacht hast und mal das Handbuch oder die Cisco Accesslisten Anleitung gelesen hast ??
http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-c ...
Was ICMP ist weiß ich...
Hört sich aber nach Art deiner Fragestellung zu urteilen nicht wirklich so an...sorry.
Das Beispiel ICMP war eben aufgeschnappt, da ich den Protocol-Port wusste
Ahem....ICMP hat gar keinen "Protocol Port" ! Oder was meinst du mit der ominösen Bezeichnung ??
Bin mir aber nicht ganz sicher was IP-basierter Traffic ist...
Das ist in der Regel natürlich alles was zur IP Protocol Suite gehört, aber der Cisco differenziert noch nach dem Protocol Typ also ob ICMP, ARP, TCP, UDP, ESP, GRE die nicht zum Typ 0x800 gehören. Die möchte er gern immer extra definieren face-wink
Spielen hier Protokolle und Ports keine Rolle mehr bei der Verarbeitung ?
Oh doch ! Eine sehr große sogar ! Der Cisco ist hier sehr pedantisch wie sich das mal so gehört bei ACLs.
Aber alles was du eben nicht explizit angibst ignoriert er dann auch. ICMP und IP ist für ihn aber unterschiedlich, deshalb will er es genau wissen.
Wenn du ICMP nicht explizit angibst werden sie durch IP ACLs nicht erfasst, da anderer Protokoll Typ.