Otaku19

hier: Reflexive access lists - PacketLife.net

ich weiß nicht ob ein layer3 Switch inspection kann....man könnte reflective acls dafür verwenden, die sollten klappen.

warum nicht einfach diejenigen die das Ding admiinistrieren fragen ob sie dir für deinen User nicht die entsprechenden show Befehle freigeben oder dir einfach n sh run per Mail schicken ?

access-list 116 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255 das kann schon mal nicht sein, damit würdest du spoofing zulassen. Was genau durch die "access-list 136 deny ip any any" gematcht wird sieht man ja leider nicht nur durch sh access-list. Könnten das also Pakete sein die nicht an 192.168.1.0/24 gehen ? Und die Aufrufe beim Webserver gehen evtl deshalb nicht weil evtl. auch DNS im VLAN 2 zu Hause ist, aber nicht in der ACl freigegeben wurde ?

kann man eher vergessen, würde eher einen mirror port machen und da eine sniffer maschine dranhängen. Dazu benötigt man allerdings ein entsprechendes priviledge level um was konfigurieren zu können. Die Admins müssen also wissen welchen Port du sniffen willst und auf welchen Ports sie alles weiterkopieren sollen. Dabei muss man natürlich die Interface Auslastung im Auge haben, schließlich wird (im theoretischen Extremfall) auf einem 100MBit Interface mit JE 100MBit gesendet UND EMPFANGEN, ergo sollte man 2 100Mbit Mirrorports (1x ingress 1x egress) oder ein Gigabit Interface nehmen

das geht nicht, du kannst es dir nur online anschauen

sicher keine originalen Cisco SFPs :)

wozu ein Routingprotokoll ? die beiden Netze sind ja direkt verbunden. Wenn du auf einem Router 2 Netze auf 2 Interfaces anliegen hast, benötigst du ja auch kein Routingprotokoll. Allerdings sehr wohl den (auf Routern impliziten) Befehl "ip routing" Beschränkungen kann man durch ACLs und VACLs machen.

ahh, hab gedacht es sind normale Kupferports...sind das evtl SFPs verschiedener Hersteller die da gemischt werden ? Sonst würde mir da nix mehr dazu einfallen.

dann setz mal auf allen 4 Interfaces speed/duplex manuell und schau was dann passiert. also 1000/full versteht sich

wie jetzt ? vom DMZ AUF dieses Subif oder zum anderen Peer hin ? wenn letzteres, dann tipp ich auf falsche encryption domains

und wenn du die access-group löscht wirds im packet-tracer dann als allowed angezeigt ?

Wo ist es denn aktiv ? Das kann man pro Interface und global aktivieren. hm...wäre dann auch mal ne Idee (sofern 8.0 vorhanden) mal packet-tracer anzuwerfen.

*vorsicht ASA-Beginner Schuss ins Blaue* da müsste der traffic dort ankommen und wieder durch die ASA retour (zu anderen netzen an der ASA, wär ja quatsch wenn die in die DMZ weiter wollen) ? same-security-traffic permit intra-interface ?

passt schon so, ist völlig egal für die Gegenseite

2.vlan anlegen, einen port in dieses vlan schieben und vlan interface anlegen,ipadresse dem vlan interface verpassen,nat anpassen. allerdings kommts aufs IOS an ob du ein 2.VLAN anlegen kannst, glaub bei den 800ern geht das in ipbase nicht

ich würds mal mit etherchannel only statt PAgP versuchen

die gehen dich nun wirklich nix an ;) aber einige tipps zum Umgang mit Visio gibts zb bei ethereal mind, cisco shapes kannst du dir von cisco.com runterladen.

wobei nipper ein paar merkwürdige vorschläge wie zB "ip classless deaktivieren" von sich gibt. wusste aber nicht das ich damit auch CP Rules analysieren kann, muss ich mal testen

notepad,visio und fürs erste immer einen Notizblock. Ansonsten hilft natürlich ein GUI wie bei Checkpoint ziemlich gut weiter um die Regeln ein wenig zu visualiseren. Allerdings ist laut CP schon ein Regelwerk ab 50 Regeln kompliziert....ich habe da welche mit etlichen hundert...

copy gibts in keinem IOS-ROMMON oder Monitor Mode -> Cisco Blog: Recovering IOS from ROMMON via TFTP Zur Not könntest das Image auch via konsolenkabel rüberschieben, auif die schnelle hab ich da gefunden das man dazu im rommon einfach l (kleines L) eingibt und dann die Datei mit dem Terminalprogramm sendet, fertig. So hab ich allerdings noch nie ein OS wieder aufgespielt, das dauert mir zu lang.

maybe router dazwischen ? da kann man doch sicher auch die IP des TFTP Server manuell eingeben und dann das IOS rüberkopieren

da müsste bei der Netzplanung aber schon ein "Binärgenie" sein Unwesen getrieben haben :) Würd mich mal interessieren warum es auf ASA/PIX keine Wildcardmasken bei ACLs gibt

255.255.255.0 = 0.0.0.253 ist natürlich Unsinn....genauso wie die Behauptung Wildcardmasken wären einfach umgedrehte Subnetzmasken. Denn mit einer Wildcardmask kann man mehrere Subnetzmasken abdecken 0.0.0.253 wäre zum Beispiel so eine "krumme" Wildcard, es deckt lauter /31 Netze ab die kein gesetztes 2. Bit besitzen: 0- 1 4- 5 8- 9 12- 13 usw.usf

daher ja auch "grauslicher" hub :)