ascaris 10 Geschrieben 24. Oktober 2006 Melden Teilen Geschrieben 24. Oktober 2006 Hallo, bin total verzweifelt und glaub dass ich bald durchdreh, deshalb versuch ich es mal hier. Ich habe einen Cisco Catalyst 3550 mit 48 Ports. Nun möchte ich auf den Ports ACL anlegen, sodass ich hier steuern kann welcher Traffic zu dem Rechner an dem entsprechenden Port möglich ist. So möchte ich dass zu einem Rechner SMTP und POP3 und jegliche UDP von überall aus, SSH aber nur von einem bestimmtem IP-Netz möglich ist. Also habe ich folgende ACL angelegt Switch> access-list 101 permit tcp any any eq 25 Switch> access-list 101 permit tcp any any eq 110 Switch> access-list 101 permit tcp 192.168.2.0 0.0.0.0 any eq 22 Gebunden auf den Port 17 mittels Switch> conf t Switch> int GigabitEthernet0/17 Switch> ip access-group 102 in Wenn ich das mache geht aber gar nix mehr. Ich kriege keinen Port auf dem Rechner an dem Port angesprochen. Auch nicht 25 und 110 obwohl die ja von jedem (any) erreichbar sein sollten, oder ? Aus verzweiflung habe ich dann mal die ACL geändert access-list 101 permit tcp any eq 25 any access-list 101 permit tcp any eq 110 any access-list 101 permit tcp 192.168.2.0 0.0.0.0 any eq 22 Hab also die Ports als Source Port 25 und 110 angelegt, was eigentlich ja bloedsinn sein sollte. Aber siehe da, dann kriege ich zumindest die Ports 25 und 110 erreicht. Wieso ?? Der Zugriff auf den Port 22 funktioniert immer noch nicht. Also habe ich auch die IP-Adressen (source und destination) mal vertauscht. Geht trotzdem nicht. Meine versuche das ACL logging zu aktivieren, damit ich sehe was er wo denied schlugen auch fehl. Kann mir hier bitte irgendwer helfen / sagen wo ich den Denkfehler habe ? Vielen Dank Dirk Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 24. Oktober 2006 Melden Teilen Geschrieben 24. Oktober 2006 Ich behaupte mal du hast einfach einen denkfehler mit in und out "ip access-group 102 in" bedeutet das ACL 102 auf allen Verkehr der über diesen Port in den SWITCH EINGEHT angewendet wird. Wenn du also den Verkehr über den Port zum Rechner filtern willst braucht du eine "out" ACL... Für logging: schreib einfach ein "access-list 101 deny ip any any log" dahinter und alles taucht im Syslog (show logging) auf. Zitieren Link zu diesem Kommentar
ascaris 10 Geschrieben 24. Oktober 2006 Autor Melden Teilen Geschrieben 24. Oktober 2006 Danke für den tip, aber OUT kann ich laut Doku nur auf Router-ACLs anwenden und in der tat lässt mich die CLI ausschliesslich IN als direction angeben. Und das mit dem logging klappt leider auch nicht.. im log tauchen nur die config by console (Configured from console by vty0) auf. Aber nix von den ACLs :( :( Danke auf jeden Fall. Vielleicht (hoffentlich) hat ja noch jemand ne idee. Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 24. Oktober 2006 Melden Teilen Geschrieben 24. Oktober 2006 Joa dann hast du natürlich ein kleines Problem... ich nehme nicht an, dass du auf alle anderen Ports des VLANs eine eingehende ACL binden willst. Da du die ACLs auf den Switchport binden möchtest nehme ich an der Server ist im gleichen Subnetz und VLAN wie die vor denen du ihn schützen willst? Falls dieser Server oder auch die Server in einem eigenen Subnetz sind wäre eine ACL auf dem router evtl eine alternative. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 25. Oktober 2006 Melden Teilen Geschrieben 25. Oktober 2006 Hi, logging für Layer2 Port ACL's sind nicht supported. ACL's für Ports gibt es nur als IN. Und ja das stimmt. IN ist eingehend auf dem Interface, sozusagen von dem angeschlossenen Gerät. Wenn du Traffic innerhalb eines Vlans filtern möchtest, dann brauchst du ein vlan access-map. Die werden sequenziell abgearbeitet. vlan access-map VL_127 20 action drop match ip address 100 vlan access-map VL_127 30 action forward vlan filter VL_127 vlan-list 127 access-list 100 permit icmp any any SW1#sh vlan access-map Vlan access-map "VL_127" 20 Match clauses: ip address: 100 Action: drop Vlan access-map "VL_127" 30 Match clauses: Action: forward Wichtig ist hier die Source und Destination. Also wenn du zu deinem Server etwas blocken möchtest, dann ist das in der ACL die Destination. Configuring Network Security with ACLs Fu Zitieren Link zu diesem Kommentar
ascaris 10 Geschrieben 25. Oktober 2006 Autor Melden Teilen Geschrieben 25. Oktober 2006 Aaach soooo.. na da muss man aber auch erstmal drauf kommen.. steht in der Cisco Doku zum Thema Port ACLs nämlich so nicht drin, erst in der VLAN-Maps section steht dann, das das nur mit VLAN Maps geht. Vielen Vielen Dank für die Hilfe.. ich dachte echt schon ich wäre zu doof für ACLs.. naja war ich in diesem Fall ja vielleicht auch ein wenig. Aber nun weiss ich ja wie es geht.. DANKE:D :D :D :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.