Accessliste Erstellen

[loopback_28 10]

Hallo,

 

ich brauche eine accessliste, habe das schon lange nicht mehr gemacht

 

Ein DENY für alles von Source 172.30.10.71-172.30.10.78 nach Destination 172.16.3.60-172.16.3.64

 

Kann mich bitte jemand unterstützen

 

Danke

[Otaku19 33]

und auf welchem System ?

[loopback_28 10]

sorry,

 

cisco IOS

[loopback_28 10]

ich habe es gerade mit 2 testrechner probiert

 

access-list 100 deny tcp host 172.16.1.5 host 172.30.10.132

 

ein ping bzw rdp geht trotzdem

[loopback_28 10]

access-list 101 deny ip host 172.16.1.5 host 172.30.10.132

 

mit deny @ip das gleiche, zugriff geht immer noch

[Otaku19 33]

du musst di acl dann auch an einem interface und in die richtige richtung binden, ping geht dann natürlich weiterhin, du blockst ja tcp.

 

in deinem fall musst du dann noch die acl etwas aufsplitten, durchs subnetting ist das so und du hast in der acl source/destination verdreht..

 

also ich würde das so machen:

access-list 100 deny ip host 172.30.10.71 172.16.3.60 255.255.255.252

access-list 100 deny ip host 172.30.10.71 host 172.16.3.64

access-list 100 deny ip 172.30.10.72 255.255.255.252 172.16.3.60 255.255.255.252

access-list 100 deny ip 172.30.10.72 255.255.255.252 host 172.16.3.64

usw usf

(access-list 100 permit ip any any)

 

dann bindest du dise acl wo das 172.30.10/x netz landet INBOUND. Je nachdem welches Plattform/welches IOS sind vielleicht auch object-groups vorhanden, das wäre praktischer als das über zib ACEs zu machen.Was auch noch zu beachten wäre, handelt es sich um einen reinen Router ? n Switch ? Ist da ein Firewallfeature aktiv ? nich timmer alles aus der Nase ziehen lassen -.-

[loopback_28 10]

es handelt sich hier um den Coreswitch,

es gibt sonst kein access gruppen, nur ein paar standard access-listen.

Das sind auch die einzigsten 2 Netzte in unserem Rechenzentrum. (werden nicht über die Firewall geroutet)

Alle anderen Netze von anderen Standorte werden über unsere Checkpoint Firewall geroutet/gemanged.

[loopback_28 10]

Frage:

Wieso hast Du bei der IP x.x.x.72 eine Netzwerkmaske und bei der ip x.x.x.71 nicht. bzw. muss man hier nicht mit wildcardmaske arbeiten?

[loopback_28 10]

ich habe das jetzt rausgefunden mit einem testrechner,

 

funktioniert so

 

conf t

access-list 101 deny ip host 172.16.1.5 172.30.10.132 0.0.0.0

access-list 101 permit ip any any

int Gi3/0/21

ip access-group 101 in

exit

 

in der produktivumgebung hängen die ip´s 172.30.10.x an einem Portchannel, bzw. das sind Bladeserver.

Frage:

muss ich jetzt die access-gruppe (ip access-group 101 in )an den physikalischen Interfaces erstellen oder an dem Po Interface?

[loopback_28 10]

was meint ihr, geht das so?

 

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.60 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.61 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.61 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.62 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.62 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.63 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.63 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.72 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.73 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.74 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.75 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.76 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.77 172.16.3.64 0.0.0.0
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

 

oder so

 

access-list access-list 101 deny ip host 172.30.10.71 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.71 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.72 0.0.0.3 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip 172.30.10.76 0.0.0.1 172.16.3.64 0.0.0.0

access-list access-list 101 deny ip host 172.30.10.78 172.16.3.60 0.0.0.3
access-list access-list 101 deny ip host 172.30.10.78 172.16.3.64 0.0.0.0

access-list access-list 101 permit ip any any

int po11
ip access-group access-list 101 in
int po25
ip access-group access-list 101 in

[Otaku19 33]

stimmt,natürlich wildcards. Aber desgintechnisch haben im Core solche Regeln nichts zu suchen :)

[loopback_28 10]

meinst Du das beide designs nichts auf dem core zu tun haben?

diese access-listen sollen zu Testzwecken nur für einige Wochen bleiben.

 

Welche andere Lösung würdest Du vorschlagen?

[Otaku19 33]

vom desgin her legt man keien acls im Core auf irgendwelche interfaces

[loopback_28 10]

Ok, soll ich dann die "access-group 101 in" auf das VLAN Interface legen statt auf den einzelnen physikalischen?

 

 

sh run int vlan 10
Building configuration...

Current configuration : 190 bytes
!
interface Vlan10
description Server-Prod
ip address 172.30.10.2 255.255.254.0
no ip redirects
no ip proxy-arp
standby 0 ip 172.30.10.1
standby 0 priority 120
standby 0 preempt
end