Hallo zusammen,
Ich arbeite gerade Mit einer Pix 501.
mir ist noch nicht ganz klar, wann ich die access-list einsetze und wann die Liste outbound.
Kann ich nicht alles mit Access-lists erschlagen?
Also auf einer PIX machst Du die Zugriffskontrolle komplett mit ACLS!!!!!
Dass ACLs nur den Inbound-Traffic regeln ist einfach FALSCH!!!!!!!! Man regelt natürlich den Traffic in beide Richtungen, man muss es nur konfigurieren.
Outbound und conduits waren mal aktuell, werden aber heute kaum bis gar nicht mehr genutzt. Eine ACLS liegt immer am jeweiligen Interface an und regelt den Verkehr.
Bei der PIX ist noch wichtig, dass man immer den Verkehr in irgendeiner Weise natten muss bzw. der PIX sagen muss, dass der Traffic nicht genattet werden muss. Dies macht man mit diversen Befehlen wie static, global, etc.
@ Martin:
... meine Literatur und meine PIX läßt mir nur eine Möglichkeit eine ACL an ein Interface anzubinden: in:
"pix(config)# access-group 123 in interface outside" als Beispiel,
"out" ist nicht möglich.
Und Du bist Dir sicher, dass sich diese ACL auch outbound anbinden läßt, wie im Cisco IOS ???
erst mal Danke für die Antworten. Ich habe eine ACL am internen IF und eine am externen IF. Geht auch alles super. Deshalb war es mir nicht so ganz klar, wozu ich noch zusätzlich die outbound benötige.
Man gibt auf jedes Interface EINE Access-Liste. Diese wird für das dahinterliegende Netz genutzt. Wenn also jetzt Traffic von Inside ins Internet will, dann greift NUR die Access-Liste am Inside-Interface.
Wenn man nun Traffic aus dem Internet regeln will, macht man das mit einer Access-Liste die am Outside-Interface sitzt. Diese regelt den Traffic aus dem Internet (egal wo hin).
In Summe sind das aber zwei Accesslisten, die eben den Traffic regeln.
sicher ist das bei der PIX anders: deshalb habe ich ja geschrieben, das man die ACL nur inbound auf die Interfaces bindet. Eine Packet das von "outside" nach "inside" unterwegs ist kann ANDERS ALS BEIM CISCO IOS nicht mehr von einer ACL am inside interface in outbound gefiltert werden.
Mit inbound und outbound ist doch die Richtung am Interface gemeint und nicht die Richtung des Traffic in der gesamten PIX.
Mal ernsthaft - ich erschrecke mich immer ein wenig, wenn jemand so direkt widerspricht und bin dann etwas in Sorge einen fehlerhaften Tip gegeben zu haben - aber ich finde in diesem Fall echt nicht den geringsten Hinweis das das Cisco FOS IP-PAckete am Interface outbound überprüft. Im Bezug auf ACLs ist bei Cisco eigentlich immer die Richtung am Interface gemeint - denke Ich. Bereite mich gerade auf CSPFA vor - habe noch mal alle ACL Kapitel gelesen - da gibts kein out ?!?!
Vielleicht haben wir aneinander vorbei gesprochen. Auf der PIX gibt es ja auch den Befehl "outbound" (hat man zusammen mit conduits verwendet).
Aber ehrlich gesagt, verwirrt mich Dein Ansatz komplett. Du hast ja in Deinem ersten Post gesagt, dass man auf der PIX nicht alles mit ACLs regelt. Dem habe ich widersprochen, denn man regelt definitiv alles mit ACLs. Die Befehle "outbound" (und danach wurde ja gefragt) wird einfach nicht mehr verwendet (so wie auch die conduits).
Wie willst Du denn auf der PIX sonst noch den Traffic kontrollieren?? Da gibt es NUR zwei Ansätze, die ACLs oder outbound/conduits (nicht mehr empfohlen!!!!), fertig.
Mir Ist klar, dass beim FeatureSet man mit Inbound/Outbound immer am Interface sitzt. Der Ansatz geht bei der PIX nicht wirklich. An und für sich, spricht man aber bei der PIX schon von der Richtung des Traffics.
Bei FeatureSet ist das sowieso alles komisch, da kann man ja auch mit der Quelle-Ziel-Angabe beim permit den Flow festlegen.
Ich habe schon Access-listen gesehen, die als IN am Interface definiert waren, aber trotzdem wurde via permit source dest der Flow umgedreht...Und das hat alles funktioniert....
Ich wollte Dir nicht auf die Füsse treten...Aber wie gesagt, mit ACLs regelt man definitiv alles auf der PIX..Und das war die Kernaussage....
lg
Martin
PS: Viel Erfolg für Deine Prüfung...ich kenne die Prüfung...sie ist etwas eigenartig....
