Jump to content

In/Out ACL's


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe hier gerade ein Verständnisprob. mit diesen ganzen ACL's. Wir haben bei uns in der Firma so ein schickes 6500 Teil wo man virtuelle Layer3 Schnittstellen definieren kann.

 

Jetzt gibts zu jedem Interface eine "access-group" für INcomming. Erstes Codebeispiel. Bedeutet...lasse alles rein und filtere rauszus's.

 

interface Vlan122
description Vl122 MEINE
ip address 10.1.122.1 255.255.255.0
ip access-group inacl-122 in
no ip redirects
no ip proxy-arp
ip policy route-map rm122
no shutdown

no ip access-list extended inacl-122
ip access-list extended inacl-122
permit ip any 10.1.122.0 0.0.0.255
!
permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255
permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255

 

 

Würde das genauso funktionieren, wenn ich das Ganze als OUT konfiguriere?

 

interface Vlan122
description Vl122 MEINE
ip address 10.1.122.1 255.255.255.0
ip access-group out_acl-122 out
no ip redirects
no ip proxy-arp
ip policy route-map rm122
no shutdown

no ip access-list extended out_acl-122
ip access-list extended out_acl-122
permit ip any 10.1.122.0 0.0.0.255
!
permit ip 10.1.122.0 0.0.0.255 10.7.201.0 0.0.0.255
permit ip 10.1.122.0 0.0.0.255 10.9.203.0 0.0.0.255

 

 

Meiner Meinung nach ist das IN und OUT doch völlig äquivalent oder sehe ich das falsch? Im IN - Fall würde das Paket schon beim Empfang gefiltert werden (ohne quasi die Schnittstelle zu durchlaufen => bildlich gesehen) und im OUT - Fall würde das Paket erstmal durch die Schnittstelle geleitet werden und kurz vor dem Senden gefiltert werden?!

 

 

Könntet ihr mich mal bitte diesbezüglich aufklären?

 

Vielen Dank

Link zu diesem Kommentar

Hi,

 

du musst dir die ACL aus der Sicht des Routers vorstellen. Hängt das Netz 10.1.122.0 VOR oder HINTER dem Router (der Schnittstelle) ?

 

Dementsprechend musst du auch die ACL entweder auf inbound oder outbound setzen.

 

permit ip SOURCE DESTINATION

 

Die Sicht auf die Source und die Destination ändert sich ja je nach Sichtweise ...

 

LG,

Christian

Link zu diesem Kommentar

die in wird dazu führen das niemand aus dem netz 10.1.122.0/24 irgendwo anders hin kann...eher schlecht würde ich sagen.

 

Die out lässt nur Pakete zu die für das verbundene Netz bestimmt sind, also das was der router sowieso macht. Ausser er bekommt via Routingprotokoll/statisch mitgeteilt das über dieses Interface noch andere Netze erreichbar sind...die sind es dann dank der ACL nicht :)

Link zu diesem Kommentar

Hallo!

 

Das mit dem VOR oder DAHINTER ist doch eigentlich nur Ansichtssache?!

 

Dann nochmal ein Bsp. was ich mal so ähnlich in einem Buch gesehen habe.

 

10.1.3.0/24 ====== |eht1-Router-eht0|====== 10.1.4.0/24

<----------- Komminikationsrichtung --------

 

Angenommen ich möchte jetzt allen Rechner im 10.1.4.0/24 Netz verbieten, mit dem 10.1.3.0/24 zu kommunizieren.

1. Jetzt könnte ich an "eth0" eine ACL für IN 'ODER' an "eth1" eine ACL für OUT definieren. Sollte beides gehen bzw. sieht ganz logisch aus?!

 

2. Eigentlich sollte doch aber auch folgendes funktionieren.

=> eth0 als OUT ACL 'ODER' eth1 als IN ACL

Das bedeutet doch eigentlich auch nix anderes, dass eingehender Traffic erst du den Routingprozess geht, bevor die ACL von "eth0" das Paket verwirft, bevor es intern an "eth1" geschoben wird.

Die bedeutende Frage in diesem Bsp ist, ob im Router interner Traffic welcher von eth0 zu eth1 geschoben wird als OUTgoing gedeutet wird und mit Fall von eth1 dann als INcomming?

 

Hoffe ich habs ned zu verwirrend beschrieben!

 

Danke

Link zu diesem Kommentar

naja,. 2 ist unsinn, auf eth1 IN könntest du nur pakete filtern die von 10.1.3.0/24 (oder dahinter liegenden Netzen) kommen...also Antwortpakete auf Pakete die von 10.1.4.0/24 gehen...irgendwie Quatsch, oder ?

 

Die allgemeine Empfehlung ist, extended ACLs (also welche wo man source+destination angibt) so nah wie möglich an der Quelle platziert um unnötige Paketverarbeitungen zu vermeiden, das beispiel hier würde man also so lösen:

 

ip access-list extended blabla

deny ip 10.1.4.0 0.0.0.255 10.1.3.0 0.0.0.255

permit ip any any (in der Annahme das 10.1.4.0 wo anders hin darf)

 

int e0

ip access-group rofl in

 

Was nicht heisst das man manchmal davon abweicht und auch in diesem Fall auf eth 1 die ACL out bindet. Je nachdem wo man mehr Aufwand hat

 

Kommt jetzt vielleicht **** rüber...aber wer arbeitet auf ner fetten Kiste wie einem 6500er und hat keine Ahnung wie ACLs funktionieren ?

Link zu diesem Kommentar

Hallo,

 

das mit dem "Davor" oder "Dahinter" ist bestimmt keine Ansichtssache - auch mit dem "in" und "out" - musst einfach vergessen - das du nen Switch hast - und dir nen Router nehmen - das mit dem IN auf dem Interface kontrolliert die Pakete die auf dem Interface rein kommen - und die Out - die Pakete die auf dem Interface raus gehen.

 

Und bei nem Switch kannst du das auf nen Interface oder auf ein VLAN legen (vlan betrifft alle Ports die dazugehören).

 

So schwer ist das doch garnicht - ist aber nicht Cisco Spezifisch - das match die ganze EDV Welt so.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...