Cisco Forum — Allgemein

loopback_28 · 20.01.2012, 10:59

Hallo,

ich brauche eine accessliste, habe das schon lange nicht mehr gemacht

Ein DENY für alles von Source 172.30.10.71-172.30.10.78 nach Destination 172.16.3.60-172.16.3.64

Kann mich bitte jemand unterstützen

Danke

Otaku19 · 20.01.2012, 12:11

und auf welchem System ?

loopback_28 · 20.01.2012, 12:20

sorry,

cisco IOS

loopback_28 · 20.01.2012, 12:26

ich habe es gerade mit 2 testrechner probiert

access-list 100 deny tcp host 172.16.1.5 host 172.30.10.132

ein ping bzw rdp geht trotzdem

loopback_28 · 20.01.2012, 13:07

access-list 101 deny ip host 172.16.1.5 host 172.30.10.132

mit deny @ip das gleiche, zugriff geht immer noch

Otaku19 · 20.01.2012, 13:08

du musst di acl dann auch an einem interface und in die richtige richtung binden, ping geht dann natürlich weiterhin, du blockst ja tcp.

in deinem fall musst du dann noch die acl etwas aufsplitten, durchs subnetting ist das so und du hast in der acl source/destination verdreht..

also ich würde das so machen:
access-list 100 deny ip host 172.30.10.71 172.16.3.60 255.255.255.252
access-list 100 deny ip host 172.30.10.71 host 172.16.3.64
access-list 100 deny ip 172.30.10.72 255.255.255.252 172.16.3.60 255.255.255.252
access-list 100 deny ip 172.30.10.72 255.255.255.252 host 172.16.3.64
usw usf
(access-list 100 permit ip any any)

dann bindest du dise acl wo das 172.30.10/x netz landet INBOUND. Je nachdem welches Plattform/welches IOS sind vielleicht auch object-groups vorhanden, das wäre praktischer als das über zib ACEs zu machen.Was auch noch zu beachten wäre, handelt es sich um einen reinen Router ? n Switch ? Ist da ein Firewallfeature aktiv ? nich timmer alles aus der Nase ziehen lassen -.-

loopback_28 · 20.01.2012, 14:27

es handelt sich hier um den Coreswitch,
es gibt sonst kein access gruppen, nur ein paar standard access-listen.
Das sind auch die einzigsten 2 Netzte in unserem Rechenzentrum. (werden nicht über die Firewall geroutet)
Alle anderen Netze von anderen Standorte werden über unsere Checkpoint Firewall geroutet/gemanged.

loopback_28 · 20.01.2012, 15:57

Frage:
Wieso hast Du bei der IP x.x.x.72 eine Netzwerkmaske und bei der ip x.x.x.71 nicht. bzw. muss man hier nicht mit wildcardmaske arbeiten?

loopback_28 · 20.01.2012, 17:05

ich habe das jetzt rausgefunden mit einem testrechner,

funktioniert so

conf t
access-list 101 deny ip host 172.16.1.5 172.30.10.132 0.0.0.0
access-list 101 permit ip any any
int Gi3/0/21
ip access-group 101 in
exit

in der produktivumgebung hängen die ip´s 172.30.10.x an einem Portchannel, bzw. das sind Bladeserver.
Frage:
muss ich jetzt die access-gruppe (ip access-group 101 in )an den physikalischen Interfaces erstellen oder an dem Po Interface?

loopback_28 · 20.01.2012, 19:44

was meint ihr, geht das so?

Code:

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.61 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.62 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.63 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

oder so

Code:

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

Cisco Forum — Allgemein

Cisco Forum: Alles zum Thema CISCO Zertifizierungen CCNA, CCNP, CCSP, CCIE etc. — Q & A zum Thema CISCO Router, Switches und Firewalls