Cisco access-list

[Nexos]

Hi,

in der schule haben wir gerade mit access-list angefangen
als aufgaben haben wir folgendes bekommen (alles mit dem packet tracer)

2 root sind an einem switch der switch hängt an einem router der ist mit einem weiteren router verbunden der 2. router ist ebenfalls mit einem switch verbunden, wo ein server dranhängt.

der 1. host hat die ip 192.168.1.21
der 2. host hat die ip 192.168.1.22
der server die ip 192.168.2.21

jetzt soll am 2. router eine access-list eingerichtet werden, wo nur der host 1 auf das netz des servers zugreifen darf.

das netz hab ich eingerichtet ping test gemacht der server ist von beiden host erreichbar.


so jetzt zur access list

ich habe folgende befehle eingegeben:

Code:

access-list 1 permit 192.168.1.21 0.0.0.0
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

jetzt kann keiner der beiden host mehr auf den server zugreifen.
was hab ich falsch gemacht?

[xor]

Hallo,

ich kann mir deine Testumgebung nicht direkt bildlich vorstellen Also kann ich dir nur allgemein sagen:

eine Standard Access-List musst du so weit wie möglich am Ziel angeben...

ein Deny Any brauchst du nicht, weil das allg. immer am Ende steht. Kannst du aber für dich selbst mit hinschreiben.

Beide Hosts können auch nicht zugreifen, weil du nur den ersten explizit durch die 0.0.0.0 wildcard Mask angegeben hast...

Mach mal zu Testzwecken das Netz der hosts frei... 192.168.1.0 0.0.0.255

Aber eigentlich sollte das so passen, wie Du es hast...

hast du denn "matches", wenn du ein sh access-lists machts, nachdem du mal das ziel gepingt hast?

mfg

[Otaku19]

fa0/0 geht Richtung Switch an dem der Server hängt ?

[xor]

Zitat von Otaku19 fa0/0 geht Richtung Switch an dem der Server hängt ?

quasi so:

Code:

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

[Otaku19]

sollte hinhaun,bau es einfach via GNS3 nach evtl liegts am Packettracer

[Nexos]

ich habs so:


Die access-liste wende ich am Router 3 an

wenn ich das so mache:

Code:

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

es kann werder der Sys-Admin noch der Standard-User den Server
anpingen

aber mit access-list 1 permit 192.168.1.0 0.0.0.255
geb ich doch allen PCs im dem netz 192.168.1.0 die rechte auf den server zuzugreifen,
das soll aber nur der Admin können.


wenn ich folgendes anwende:

Code:

access-list 1 permit 192.168.1.21 0.0.0.0
access-list 1 deny any

interface fastethernet 0/0
ip access-group 1 out

hab ich 8 permit matches
und 7 deny maches


wenn ich meinem erste vorschlag aus dem ersten post anwende hab ich 2 deny matches

[collapse]

man man complicated boy's machts euch komplizierter wie es ist...

192.168.1.0/24 (hosts) -> Switch -> Fast 0/0 Router 1 Fast 0/1 -> Router -> Switch -> Server

Router 1
conft

ip access-list LAN_IN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip any any
ip access-list LAN_OUT
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip any any
ip access-list WAN_IN
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip any any
ip access-list WAN_OUT
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip any any


int fast 0/0
ip access-group LAN_IN
ip access-group LAN_OUT

int fast 0/1
ip access-group WAN_IN
ip access-group WAN_OUT


fals du den Zugang noch ein wenig Feiner Granulieren moechtest.

ziel nur http (80)
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
ziel RDP (3389)
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 3389