-= Brummbär =- 10 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 Hallo, Ich habe folgende Konstellation Client => 3750 => PIX => FTP-Server im Internet. Konfig in der PIX: access-list inside-i permit tcp any object-group FTP-Server eq ftp Konfig in 3750: permit tcp any host [iP_FTPServer] eq ftp => klappt nicht permit tcp any host [iP_FTPServer] => klappt Da ich passives FTP verwende müssen natürlich weitere Ports als Port 21 aufgemacht werden. Kann ich das auf dem 3750 trotzdem etwas einschränken oder fehlt dazu einfach die Firewallfunktionalität die dann die Zusammenhänge zwischen den Paketen erkennt. Ich stolper immer wieder über solche Unterschiede zwischen PIX und Router :(
Wordo 11 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 Der 3750 ist ein Switch und kein Router. Gilt die Regel generell fuer FTP oder ist das nur ein spezieller?
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Geschrieben 25. November 2008 Sorry. Meinte natürlich Switch. Nee. Die Clients sollen nur auf den FTP-Server von unserer Homepage kommen (feste IP).
Wordo 11 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 Dann erlaubst du entweder zu der IP die Highports oder versuchst die Portrange fuer Passive am FTP fest einzustellen (z.B. 2000-2050). Wenn die IP eh im Internet ist machts eigentlich nicht viel Sinn den Switch damit zu "belasten".
Otaku19 33 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 das wäre dann eien statefull Funktionalität die du verlangst. Lass den Switch in Ruhe switchen und mach die Security dort wo sie hingehört, auf der PIX
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Geschrieben 25. November 2008 Also mit den ACLs auf dem Switch nur interne Einschränkungen vornehmen und alles was nicht intern ist komplett erlauben und an der PIX filtern lassen?
Wordo 11 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 Klar, wozu haste das Ding denn? Nicht das er mit paar Regeln nicht zurecht kommt, aber du bringst die ganze Struktur (sofern vorhanden) durcheinander.
-= Brummbär =- 10 Geschrieben 25. November 2008 Autor Melden Geschrieben 25. November 2008 Die Clients sind in mehrere Subnetze aufgeteilt. Der Switch filter die Ports die die Clients an den Servern erreichen dürfen. Ich weiß. Eigentlich müsste ich dafür eine separate Firewall einsetzen, aber ich bin schon mal froh, dass ich einen Layer 3 Switch habe und eine Firewall für den internen Betrieb müsste ja schon etwas mehr Durchsatz können, oder? Nach außen kommt dann der PIX und davor ein Cisco Router. Dazwischen ist die DMZ. Ich glaube der Bereich müsste soweit in Ordnung sein.
blackbox 10 Geschrieben 25. November 2008 Melden Geschrieben 25. November 2008 Hi, der Layer3 sollte eigentlich nur ganz einfache Regeln bearbeiten (Halte ich auch für Sinnvoll) - aber warum schreibst du das die FTP Regel nicht geht ?
-= Brummbär =- 10 Geschrieben 27. November 2008 Autor Melden Geschrieben 27. November 2008 Hi, da ich nach außen passives FTP benutze, reicht eq ftp nicht aus, da der Switch nicht mitbekommt, dass das Öffnen der HighPorts mit zu der Anfrage gehört. Aber ich hab jetzt den Switch von der Aufgabe "entbunden" und prüfe erst an der PIX, ob ein Client per FTP raus darf. Da klappt es dann auch wieder mit eq ftp *freu* Besten Dank für die Postings. Manchmal macht man sich das Ganze einfach unnötig kompliziert.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden