Jump to content
Sign in to follow this  
-= Brummbär =-

ACL 3750 FTP erlauben

Recommended Posts

Hallo,

 

Ich habe folgende Konstellation

 

Client => 3750 => PIX => FTP-Server im Internet.

 

Konfig in der PIX:

access-list inside-i permit tcp any object-group FTP-Server eq ftp

 

Konfig in 3750:

permit tcp any host [iP_FTPServer] eq ftp => klappt nicht

permit tcp any host [iP_FTPServer] => klappt

 

Da ich passives FTP verwende müssen natürlich weitere Ports als Port 21 aufgemacht werden. Kann ich das auf dem 3750 trotzdem etwas einschränken oder fehlt dazu einfach die Firewallfunktionalität die dann die Zusammenhänge zwischen den Paketen erkennt. Ich stolper immer wieder über solche Unterschiede zwischen PIX und Router :(

Share this post


Link to post

Dann erlaubst du entweder zu der IP die Highports oder versuchst die Portrange fuer Passive am FTP fest einzustellen (z.B. 2000-2050). Wenn die IP eh im Internet ist machts eigentlich nicht viel Sinn den Switch damit zu "belasten".

Share this post


Link to post

das wäre dann eien statefull Funktionalität die du verlangst. Lass den Switch in Ruhe switchen und mach die Security dort wo sie hingehört, auf der PIX

Share this post


Link to post

Klar, wozu haste das Ding denn? Nicht das er mit paar Regeln nicht zurecht kommt, aber du bringst die ganze Struktur (sofern vorhanden) durcheinander.

Share this post


Link to post

Die Clients sind in mehrere Subnetze aufgeteilt. Der Switch filter die Ports die die Clients an den Servern erreichen dürfen. Ich weiß. Eigentlich müsste ich dafür eine separate Firewall einsetzen, aber ich bin schon mal froh, dass ich einen Layer 3 Switch habe und eine Firewall für den internen Betrieb müsste ja schon etwas mehr Durchsatz können, oder?

 

Nach außen kommt dann der PIX und davor ein Cisco Router. Dazwischen ist die DMZ. Ich glaube der Bereich müsste soweit in Ordnung sein.

Share this post


Link to post

Hi,

 

der Layer3 sollte eigentlich nur ganz einfache Regeln bearbeiten (Halte ich auch für Sinnvoll) - aber warum schreibst du das die FTP Regel nicht geht ?

Share this post


Link to post

Hi,

 

da ich nach außen passives FTP benutze, reicht eq ftp nicht aus, da der Switch nicht mitbekommt, dass das Öffnen der HighPorts mit zu der Anfrage gehört. Aber ich hab jetzt den Switch von der Aufgabe "entbunden" und prüfe erst an der PIX, ob ein Client per FTP raus darf. Da klappt es dann auch wieder mit eq ftp *freu*

 

Besten Dank für die Postings. Manchmal macht man sich das Ganze einfach unnötig kompliziert.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...