2
Sonderhaftes Verhalten einer ACL auf einem Cisco Router
Ich hab auf unserem Cisco 1841 Router eine ACL, die den Traffic vom Produktiv-Netz zum Gastnetz unterbinden soll. Allerdings verhält sich die ACL etwas sonderbar...
Moin moin,
Zum Netzaufbau, ich habe ein Produktiv-Netz (192.168.0.0 /24) und ein Gastnetz (10.42.201.0/24), die über einen Router (Cisco 1841) verbunden sind.
Mittel ACL´s möchte ich nun den Traffic zwischen Produktiv und Gastnetz einschränken.
Auf dem Interface für das Gastnetz ist die ACL Customer-Lan eingebunden
die ACL hat folgende Einträge:
Die Verbindung via HTTP funktioniert ins Gastnetz, allerdings verstehe ich nicht, warum die Hits auf der ACL nicht gezählt werden.
Möchte ich allerdings die Druckereinstellungen auf einem Drucker im Gastnetz aufrufen (von einem Windows PC), dann gibt das Log die Meldung
Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.
Die Meldung im Log sagt aber, dass das ausgehende Paket (10.42.201.113) nicht ins Produktiv-Netz (192.168.0.xxx) darf.
Eventuell habt ihr ja eine Idee, ich steh mal wieder auf dem Schlauch :D
Gruß Keksdieb
Zum Netzaufbau, ich habe ein Produktiv-Netz (192.168.0.0 /24) und ein Gastnetz (10.42.201.0/24), die über einen Router (Cisco 1841) verbunden sind.
Mittel ACL´s möchte ich nun den Traffic zwischen Produktiv und Gastnetz einschränken.
Auf dem Interface für das Gastnetz ist die ACL Customer-Lan eingebunden
interface Vlan10
description Customer-Lan-Interface
ip address 10.42.201.2 255.255.255.0
ip access-group Customer-Lan in
ip nat inside
ip virtual-reassemblydie ACL hat folgende Einträge:
Extended IP access list Customer-Lan
10 permit tcp any any established (12 matches)
20 permit udp any any eq snmp log
30 permit tcp any any eq 9100 log
40 permit tcp 192.168.0.0 0.0.0.255 any eq www
50 permit tcp 192.168.0.0 0.0.0.255 any eq 443
60 permit tcp 192.168.0.0 0.0.0.255 any eq ftp
70 permit tcp 192.168.0.0 0.0.0.255 any eq telnet
80 deny ip any any log (690 matches)Die Verbindung via HTTP funktioniert ins Gastnetz, allerdings verstehe ich nicht, warum die Hits auf der ACL nicht gezählt werden.
Möchte ich allerdings die Druckereinstellungen auf einem Drucker im Gastnetz aufrufen (von einem Windows PC), dann gibt das Log die Meldung
000294: *Mar 12 10:30:08.477 CET: %SEC-6-IPACCESSLOGP: list Customer-Lan denied udp 10.42.201.113(161) -> 192.168.0.xxx(53655), 1 packetDie ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.
Die Meldung im Log sagt aber, dass das ausgehende Paket (10.42.201.113) nicht ins Produktiv-Netz (192.168.0.xxx) darf.
Eventuell habt ihr ja eine Idee, ich steh mal wieder auf dem Schlauch :D
Gruß Keksdieb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203186
Url: https://administrator.de/contentid/203186
Printed on: April 26, 2024 at 05:04 o'clock
2 Comments
Latest comment
interface Vlan10
ip access-group Customer-Lan in Die ACL sollte doch eingehend arbeiten, also alle Pakete, die von anderswo (z.B. Produktiv-Netz) in das Gastnetz wollen, werden an der Routerschnittstelle (Vlan10) untersucht und entsprechend der Regelkette bearbeitet.
Die arbeitet ja auch eingehend.
Nämlich auf alle Pakete, die am Interface Vlan10 eingehen.
Für Langsame: Traffic der in das Gastnetz will ist an Vlan10 natürlich ausgehend.
Oh mein Gott...
gibt es nicht mehr zu zu sagen!
Viel Schlimmer ist, dass das Log genau das sagt und ich Depp den Wald inklusive Bäume nicht gesehen hab!
Vielen Dank dog und Asche auf mein Haupt!
gibt es nicht mehr zu zu sagen!
Viel Schlimmer ist, dass das Log genau das sagt und ich Depp den Wald inklusive Bäume nicht gesehen hab!
Vielen Dank dog und Asche auf mein Haupt!
