caes2359
Goto Top

Übung: Bilden von Access Listen(Mit Aufgabenstellung)

Guten Tag Zusammen,

bei uns geht es zur Zeit um Access Listen im Unterricht und entsprechende Netzaufteilungen...
Mir ist allerdings noch nicht wirklich klar wie ich aus bestimmten IP Adressen Access-Listen aufbaue, damit die zugehörige Aufgabenstellung erfüllt wird.

Ich habe im Internet schon etliche Seiten nach Übungsbeispielen durchsucht, aber keine gefunden die mir helfen würden...
Ich hoffe hier ein wenig Hilfe zu bekommen...

Das Netz um das es geht : Hausnetz: 10.10.20.0 /24
Chef : 10.10.20.100
Server: 10.10.10.24

1)
Erstellen Sie zu dem Netzwerk aus dem Beispiel eine Standard ACL, die den Zugriff
nur für alle IP-Adressen >= .128 aus dem Netzt 10.1.20.0/24 auf den Server erlaubt.
2)
Erstellen Sie zu dem Netzwerk aus dem Beispiel eine Standard ACL, die den Zugriff
nur für alle IP-Adressen < .128 aus dem Netzt 10.1.20.0/24 und für den Chef auf den
Server erlaubt.
3)
Erstellen Sie zu dem Netzwerk aus dem Beispiel eine Standard ACL, die den Zugriff
nur für ungeraden IP-Adressen aus dem Netzt 10.1.20.0/24 und für den Chef auf den
Server erlaubt.

Ich weiß, dass man für die ACL eine Wildcardmaske braucht, welche aus der inversen Subnetzmaske gebildet wird.. Aber wie man das letztendlich umsetzt und wie man zur Lösung der Aufgabe findet ist mir schleiferhaft...

Ich bin Ratlos... face-sad

Viele Grüße

Content-ID: 557614

Url: https://administrator.de/contentid/557614

Ausgedruckt am: 26.11.2024 um 12:11 Uhr

aqui
Lösung aqui 13.03.2020 aktualisiert um 23:29:03 Uhr
Goto Top
welche aus der inversen Subnetzmaske gebildet wird.. Aber wie man das letztendlich umsetzt und wie man zur Lösung der Aufgabe findet ist mir schleiferhaft...
Da hast du wohl im Mathe Unterricht beim Binärrechnen geschwänzt oder wie ??
Invertiere einfach mal alle Bits der Maske 255.255.255.0 Was kommt dabei raus ???
Tadaaa... 0.0.0.255 und schon hast du deine Wildcard Maske !
So einfach ist das !
1.)
access-list 10 permit ip 10.10.20.128 0.0.0.127 host 10.10.10.24
access-list 10 deny any any
2.)
access-list 10 permit ip 10.10.20.0 0.0.0.127 host 10.10.10.24
access-list 10 deny any any
3.)
Dafür reicht der Platz hier nicht aus...
face-big-smile
caes2359
caes2359 13.03.2020 um 20:17:48 Uhr
Goto Top
Danke für deine Antwort...
Nicht geschwänzt, aber zu sagen das wär mein Fach wäre gelogen...

Mit Deny any any werden also alle anderen Adressen automatisch denyt? Man muss Sie nicht mehr seperat denyen?

Was wäre denn ein möglicher Ansatz, um die dirtte Aufgabe lösen zu können? Was ist mit ungeraden Adressen gemeint?
brammer
brammer 13.03.2020 um 22:33:24 Uhr
Goto Top
Hallo,

Mathe ist echt problematisch...

was ist mit ungeraden Adressen gemeint?

1
3
5
7
9
11...

Dann musst Host spezifische ACL's basteln...

Brammer
aqui
aqui 13.03.2020 aktualisiert um 23:32:10 Uhr
Goto Top
Man muss Sie nicht mehr seperat denyen?
Nein, müsste man nicht, denn wenn man eine Permit ACL hat ist so oder so alles dann DENYed. Das Deny any any Statement ist also mehr oder minder kosmetisch.
Zum Thema ungerade Adressen war das oben auch vom Kollegen @brammer eher ein Spaß im dich etwas in die Irre zu führen und mal zum logischen Nachdenken zu animieren. Bei dir leider wohl vergebliche Liebesmüh... face-sad
Natürlich muss man nicht 128 Host Adressen filtern, denn mit Wildcard Masken kann man recht interessante Dinge machen wenn man denn mal etwas binär denkt !
Z.B. filtert access-list 10 permit ip any 192.168.0.1 0.0.255.0 alle Adressen ala 192.168.0.1, 192.168.1.1, 192.168.2.1 usw. Alles was die Wildcard Maske mit Bit 0 maskiert bleibt bestehen der Rest mit gesetztem Wildcard Bit 1 darf sich ändern. Oben ist das dann das gesamte 3 Byte was variabel sein darf.

Das ist dann auch die banale Lösung für deine Aufgabe 3 !
Schreibe es einfach mal binär auf:
00001010 . 00001010 . 00010100 . 00000000
(Adresse binär)
00000000 . 00000000 . 00000000 . 11111110
(Maske, dezimal 0.0.0.254)
Alles was zu den 1er Bits korrespondiert darf sich ändern.

access-list 10 permit ip any 10.10.20.0 0.0.0.254 filtert also alle geraden IP Adressen. Folglich filtert dann
access-list 10 permit ip any 10.10.20.1 0.0.0.254
alle ungeraden Adressen.
Damit die IP vom Cheffe als Gerade noch dazu durchkommt lautet also die vollständige Lösung der Aufgabe 3:
access-list 10 permit ip host 10.10.20.100 host 10.10.10.24
access-list 10 permit ip 10.10.20.1 0.0.0.254 host 10.10.10.24

Mit dem Mathe Werkzeug aus der Grundschule also kein Thema face-wink

Ein bisschen traurig das du mit ein klein wenig binärem Nachdenken nicht selber drauf kommst so eine einfache Aufgabe zu lösen. Ist so als wenn man bei gutefrage.net nach dem kleinen Einmaleins fragt. Aber egal...
So haben wir wenigstens unsere übliche Freitagsfrage heute wieder gehabt ! Ist ja auch was.

Case closed !
Wie kann ich einen Beitrag als gelöst markieren?