Cisco ACL für einzelne Ports richtig setzen?

[ingram333]

Hallo Community!

Bin absoluter Neuling was CISCO Hardware angeht und bekomme leider
die ACL's nicht richtig auf die Reihe...

Mein Problem:
Ich habe einen CISCO Catalyst 3650 auf dessen 24 Ports alle möglichen
Server und Clients angschlossen sind. An Port 21 befindet sich ein CISCO
WLAN-Access Point der nur Zugriff auf den Port 24 haben soll (Firewall+Internet),
aber auf keinen der anderen... der Rest soll beliebig
miteinander kommunizieren dürfen, es geht also nur darum alles von
diesem einen Port auf Internet zu beschränken ohne das ein LAN Zugriff
möglich ist.

Meine Frage:
Wie genau müssten die ACL aussehen die sagen:
1) Erlaube für Port 21 (WLAN) nur Zugriff auf Port 24 (FW)
2) Verbiete alle anderen Ports für Verbindungen von Port 21 (WLAN)
3) Rest darf beliebig kommunizieren

Meine bisherigen Versuche die ACL einzustellen hatten nur zu Folge das
ich den Switch jedesmal "reseten" musste da ich mich selbst ausgesperrt habe...

Vielen Dank für eure Zeit

[Wordo]

Wieso machst du fuer WLAN nicht ein eigenes VLAN und IP-Netz?

[Wordo]

Oder das hier:

Catalyst 3560 Switch Software Configuration Guide, Rel. 12.2(50)SE - Configuring Port-Based Traffic Control [Cisco Catalyst 3560 Series Switches] - Cisco Systems

[ingram333]

Hallo Wordo und Danke erstmal für deine Antwort.

Vlt. mach ich mich jetzt lächerlich, aber ich dachte immer eine Komponente und ein Gateway müssen im selben IP-Bereich liegen, oder?

Also z.B. mein WLAN hat derzeit die IP 192.168.0.246 und meine FW 192.168.0.1... wie geht das wenn WLAN einen anderen Adressbereich hat?

Die IP zu ändern wäre etwas kompliziert, da u.a. ein Monitoringserver auf das
WLAN zugreift und SNMP Daten holt... falls es nicht anders geht muss ich
mir was einfallen lassen, aber mir wäre lieber einfach eine Beschränkung der
Ports zu definieren (wenn das wiederum überhaupt so geht wie ich mir das
denke).

[Wordo]

Ich hatte eher an eine zweite NIC in der Firewall gedacht, darueber wird dann das Netz separiert. Waere jedenfalls sauberer als mit ACL's auf dem Switch rumzuspielen.

[ingram333]

NIC auf FW sind alle drei belegt leider...


Zusatz:

oder geht es vielleicht auch einfach auf IP ebene wie ein Paketfilter?
Also sowas wie:

access-list 102 permit tcp host 192.168.0.245 host 192.168.0.1
access-list 103 permit udp host 192.168.0.245 host 192.168.0.1
access-list 104 deny any host 192.168.0.245 any

Geht aber leider nicht

[Wordo]

Das sind ja auch 3 verschiedene ACL's

Nimm dir das mal als Beispiel:
http://www.mcseboard.de/cisco-forum-...cl-159188.html (ASA oder ACL)

[ingram333]

ah ok, ja das hatte ich nur falsch abgetippt...

ich hab es nun mit folgenden (extended ip-)ACLs versucht die nach üblichen Paketfilterregeln eigentlich gehen müssten,
aber wenn ich die aktiviere und mich über WLAN verbinde, habe ich überhaupt keinen Zugriff auf irgendwas mehr
(auch nicht das gateway).

Was ist an denen hier falsch?

permit tcp host 192.168.0.245 host 192.168.0.1
permit udp host 192.168.0.245 host 192.168.0.1
permit icmp host 192.168.0.245 host 192.168.0.1
deny tcp host 192.168.0.245 any
deny udp host 192.168.0.245 any
deny icmp host 192.168.0.245 any

In einem Paketfilter wäre die Hierachie so richtig denke ich, gilt das
so nicht für ACLs? Weiß der Router was "stateful filtering" ist? Oder
muss ich jetzt auch von der FW zum WLAN zurück die Regeln schreiben
(also sowas dazu wie: "permit tcp 192.168.0.1 host 192.168.0.245")

[Wordo]

Wenn du surfst verbindest du dich auf die Firewall? Macht die Proxy? Gibts nur eine IP (245) im WLAN?

Normalerweise verbietest du von 245 auf komplettes Netz selbst, den Rest erlauben. Das wiederum bindest du Inbound auf dem SVI.

[ingram333]

ahhhhh danke, ich glaub jetzt hast du mich auf einen Denkfehler gebracht!

Die IP von dem WLAN Interface ist zwar die 192.168.0.245, aber wenn
sich jemand damit verbindet, behält er ja trotzdem seine eigene IP im DHCP
Bereich... also sind die ausgehenden Verbindungen vom Client ja gar nicht
zwingend von 0.245 sondern von der IP des Clients... richtig?

Dann wäre auch klar, warum meine ACLs nicht funktionieren, weil der Router
gar keine Anfragen von der IP bekommt...

Sollte es so sein, kann ich aber eigentlich nur noch das mit den Ports machen, oder? Also sinvoll filtern ist ja so kaum möglich (kann ja schlecht alle DHCP Adressen da reinhacken).

Hätte nie gedacht das das so kompliziert ist.