Jump to content

Warum greift diese Access-List nicht?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

Kann mir jemand verraten, warum die Access-List nicht greift? Die "hitcnt" in der Access-List zeigen bei allen Regeln eine 0... Ich kann ungehindert surven... Heißt es nicht, daß die Access-list standartmäßig verbieten, wenn man nichts explizit durchlässt?

 

 

Es geht um:

 

Cisco PIX Firewall Version 6.1(4)

Cisco PIX Device Manager Version 1.1(2)

Compiled on Tue 21-May-02 08:40 by morlee

 

mask up 12 secs

 

Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz

Flash E28F640J3 @ 0x300, 8MB

BIOS Flash AM29F400B @ 0xfffd8000, 32KB

 

0: ethernet0: address is 000a.f43d.9dc7, irq 10

1: ethernet1: address is 000a.f43d.9dc8, irq 11

 

Licensed Features:

Failover: Disabled

VPN-DES: Enabled

VPN-3DES: Disabled

Maximum Interfaces: 2

Cut-through Proxy: Enabled

Guards: Enabled

Websense: Enabled

Inside Hosts: Unlimited

Throughput: Limited

ISAKMP peers: Unlimited

 

 

mit folgender Konfiguration:

 

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname mask

domain-name [Domain]

no fixup protocol sip 5060

no fixup protocol skinny 2000

no fixup protocol h323 1720

no fixup protocol rsh 514

no fixup protocol ftp 21

no fixup protocol rtsp 554

no fixup protocol smtp 25

no fixup protocol sqlnet 1521

no fixup protocol http 80

names

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995

access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1

pager lines 24

 

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside [iPAdresse mit Netmask der PIX]

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

[...]

Link to comment

[...]

access-group acl_outside in interface outside

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 [iP GATEWAY] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

 

 

Vielen Dank für eure Hilfe! Ich weiß wirklich nicht mehr weiter...

Link to comment

Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface??

Muss speziell am Ende einer access-list ein deny all stehen? Ich las irgendwo, daß die Pix nur durchläßt was explizit erlaubt wurde. Dagegen spricht die obige Sache, denn aktuell habe ich in der Pix nur die die obige Access-list am outside interface angebunden, kann jedoch immer noch surfen...

Link to comment
Original geschrieben von Speedo

Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface??

 

Muss speziell am Ende einer access-list ein deny all stehen? Ich

 

Hallö!

 

Sorry, aber ich finde in Deinen Postings die oben zitierte Zeile einfach nicht...

 

Abgesehen davon... meines Wissens hast Du sowieso ein implicite deny any any am Schluss jeder access-list - denke das ist auch bei der PIX gleich.

 

Etwaige Korrekturen nehme ich gerne zur Kenntnis..

 

Was mir spontan einfällt, ohne die besagte Zeile gefunden zu haben: Hast Du die access-list ans Interface gebunden?

Link to comment

Endlich... Danke! ;)

 

Ich habe die Bindung,

"access-group acl_outside in interface outside"

die auch oben in der conf steht, aufgehoben und eine neue einfache Regel erstellt (eben die deny all) und die statt dessen mit dem inside-interface verbunden, um einfach mal zu testen, was denn überhaupt noch funktioniert.

 

Bisher habe ich folgendes getestet:

 

 

 

Anlegen der permit-Regeln und einer Deny-Regel

fbtbw-mask(config)# sh access-list

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0)

access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0)

 

fbtbw-mask(config)# sh access-group

access-group acl_outside in interface outside

 

Ergebnis:

Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln

 

 

Access-List auf Inside-Interface binden:

fbtbw-mask(config)# no access-group acl_outside in interface outside

fbtbw-mask(config)# access-group acl_outside in interface inside

fbtbw-mask(config)# sh access-group

access-group acl_outside in interface inside

 

fbtbw-mask(config)#write mem

-> Reload

 

Ergebnis:Internet nicht möglich (Proxy not found), Pingen nach draßen nicht möglich, Counter werden nicht hochgezählt

 

 

---- >Stand bis hier wie ganz oben ausgegeben <----

Link to comment

-> Test: Anlegen einer einfachen Deny-Regel an Interface outside, die alles verbietet, Liste an inside entfernen

fbtbw-mask(config)# access-list acl_close deny tcp any any

fbtbw-mask(config)# sh access-list

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0)

access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0)

access-list acl_close deny tcp any any (hitcnt=0)

 

fbtbw-mask(config)# no access-group acl_outside in interface inside

fbtbw-mask(config)# access-group acl_close in interface outside

fbtbw-mask(config)# sh access-group

access-group acl_close in interface outside

 

fbtbw-mask(config)#write mem

-> Reload

 

Ergebnis:

Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln

 

???

 

 

-> Test: die Deny-Regel auf das inside-Interface binden

fbtbw-mask(config)# no access-group acl_close in interface outside

fbtbw-mask(config)# access-group acl_close in interface inside

fbtbw-mask(config)# sh access-group

access-group acl_close in interface inside

 

fbtbw-mask(config)#write mem

-> Reload

 

Ergebnis: Counter für die "access-list acl_close deny tcp any any (hitcnt=0)"-Regel zählt hoch

-> Regel ist richtig. Interessant... Obwohl nur tcp verboten wurde, ist ein Pingen von 10.0.0.2 nach 10.0.01 möglich,

jedoch nicht nach extern. -> Deny-Regel am Ende überflüssig?

Warum funktioniert diese Regel nicht am outside-Interface??? Source/Target kann bei einer any-any-Regel nicht

vertauscht werden.

 

 

 

 

Zuerst abändern der deny-all-Regel in der acl_outside und lösen der Liste acl_close von interface

 

 

fbtbw-mask(config)# no access-group acl_close in interface inside

fbtbw-mask(config)# sh access-group

 

fbtbw-mask(config)# no access-list acl_outside deny ip 10.0.0.0 255.255.255.0 $

fbtbw-mask(config)# access-list acl_outside deny ip any any

fbtbw-mask(config)# sh access-list

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0)

access-list acl_outside deny ip any any (hitcnt=0)

access-list acl_close deny tcp any any (hitcnt=18)

 

---> Stand der Pix jetzt <---

Link to comment
Original geschrieben von Speedo

 

Ergebnis: Counter für die "access-list acl_close deny tcp any any (hitcnt=0)"-Regel zählt hoch

-> Regel ist richtig. Interessant... Obwohl nur tcp verboten wurde, ist ein Pingen von 10.0.0.2 nach 10.0.01 möglich,

jedoch nicht nach extern. -> Deny-Regel am Ende überflüssig?

Warum funktioniert diese Regel nicht am outside-Interface???

 

Also meines Wissens ist das Pingen deshalb möglich, weil der Ping ICMP benutzt und nicht TCP.

 

Warum das nur in eine Richtung geht, habe ich noch nicht ganz rausgefunden, aber inzwischen seh ich wenigstens schon, dass Du ZWEI Access-listen erstellt hast... (schon mal n Anfang)

 

Die DENY-Regel am Ende kannst Du eigentlich knicken, weil eine implizite DENY-Regel am Ende gesetzt wird, mit der verhindert werden soll, dass man verbotenen Verkehr "vergisst".

Link to comment

Okay, das habe ich in meinen Test auch bestätigt gefunden, daß nicht explizit erlaubt auch nicht durch darf. Wenigstens schon mal ein kleiner Lichtblick... Aber mit dem Rest stehe ich völlig im Dunkeln. Wenn Du Dir das Protokoll mal durchliest, wirst Du merken, wo meine Probleme stecken.

 

Kapiere nicht, warum die (Test-)deny-Regel nur am inside-Interface funzt, jedoch nicht am outside...

Auch wundert mich, warum die permit-Regeln nicht greifen, sie sind doch nach dem selben/ähnlichen Syntax verfasst, wie es der Kollege in dem anderen Access-List-Posting in seiner Liste gemacht hat.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...