loopback_28 10 Geschrieben 20. Januar 2012 Melden Teilen Geschrieben 20. Januar 2012 Hallo, ich brauche eine accessliste, habe das schon lange nicht mehr gemacht Ein DENY für alles von Source 172.30.10.71-172.30.10.78 nach Destination 172.16.3.60-172.16.3.64 Kann mich bitte jemand unterstützen Danke Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Januar 2012 Melden Teilen Geschrieben 20. Januar 2012 und auf welchem System ? Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 sorry, cisco IOS Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 ich habe es gerade mit 2 testrechner probiert access-list 100 deny tcp host 172.16.1.5 host 172.30.10.132 ein ping bzw rdp geht trotzdem Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 access-list 101 deny ip host 172.16.1.5 host 172.30.10.132 mit deny @ip das gleiche, zugriff geht immer noch Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Januar 2012 Melden Teilen Geschrieben 20. Januar 2012 du musst di acl dann auch an einem interface und in die richtige richtung binden, ping geht dann natürlich weiterhin, du blockst ja tcp. in deinem fall musst du dann noch die acl etwas aufsplitten, durchs subnetting ist das so und du hast in der acl source/destination verdreht.. also ich würde das so machen: access-list 100 deny ip host 172.30.10.71 172.16.3.60 255.255.255.252 access-list 100 deny ip host 172.30.10.71 host 172.16.3.64 access-list 100 deny ip 172.30.10.72 255.255.255.252 172.16.3.60 255.255.255.252 access-list 100 deny ip 172.30.10.72 255.255.255.252 host 172.16.3.64 usw usf (access-list 100 permit ip any any) dann bindest du dise acl wo das 172.30.10/x netz landet INBOUND. Je nachdem welches Plattform/welches IOS sind vielleicht auch object-groups vorhanden, das wäre praktischer als das über zib ACEs zu machen.Was auch noch zu beachten wäre, handelt es sich um einen reinen Router ? n Switch ? Ist da ein Firewallfeature aktiv ? nich timmer alles aus der Nase ziehen lassen -.- Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 es handelt sich hier um den Coreswitch, es gibt sonst kein access gruppen, nur ein paar standard access-listen. Das sind auch die einzigsten 2 Netzte in unserem Rechenzentrum. (werden nicht über die Firewall geroutet) Alle anderen Netze von anderen Standorte werden über unsere Checkpoint Firewall geroutet/gemanged. Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 Frage: Wieso hast Du bei der IP x.x.x.72 eine Netzwerkmaske und bei der ip x.x.x.71 nicht. bzw. muss man hier nicht mit wildcardmaske arbeiten? Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 ich habe das jetzt rausgefunden mit einem testrechner, funktioniert so conf t access-list 101 deny ip host 172.16.1.5 172.30.10.132 0.0.0.0 access-list 101 permit ip any any int Gi3/0/21 ip access-group 101 in exit in der produktivumgebung hängen die ip´s 172.30.10.x an einem Portchannel, bzw. das sind Bladeserver. Frage: muss ich jetzt die access-gruppe (ip access-group 101 in )an den physikalischen Interfaces erstellen oder an dem Po Interface? Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 20. Januar 2012 Autor Melden Teilen Geschrieben 20. Januar 2012 was meint ihr, geht das so? access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.61 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.62 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.63 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.72 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.73 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.74 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.75 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.76 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.77 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0 access-list access-list 101 permit ip any any int po11 ip access-group access-list 101 in int po25 ip access-group access-list 101 in oder so access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.64 0.0.0.0 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.3 access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0 access-list access-list 101 permit ip any any int po11 ip access-group access-list 101 in int po25 ip access-group access-list 101 in Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 21. Januar 2012 Melden Teilen Geschrieben 21. Januar 2012 stimmt,natürlich wildcards. Aber desgintechnisch haben im Core solche Regeln nichts zu suchen :) Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 23. Januar 2012 Autor Melden Teilen Geschrieben 23. Januar 2012 meinst Du das beide designs nichts auf dem core zu tun haben? diese access-listen sollen zu Testzwecken nur für einige Wochen bleiben. Welche andere Lösung würdest Du vorschlagen? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 23. Januar 2012 Melden Teilen Geschrieben 23. Januar 2012 vom desgin her legt man keien acls im Core auf irgendwelche interfaces Zitieren Link zu diesem Kommentar
loopback_28 10 Geschrieben 23. Januar 2012 Autor Melden Teilen Geschrieben 23. Januar 2012 Ok, soll ich dann die "access-group 101 in" auf das VLAN Interface legen statt auf den einzelnen physikalischen? sh run int vlan 10 Building configuration... Current configuration : 190 bytes ! interface Vlan10 description Server-Prod ip address 172.30.10.2 255.255.254.0 no ip redirects no ip proxy-arp standby 0 ip 172.30.10.1 standby 0 priority 120 standby 0 preempt end Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.