Cisco ACLs: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| Zeile 66: | Zeile 66: | ||
==Linux Ping geht Http nicht == | ==Linux Ping geht Http nicht == | ||
[[Datei:linux-host-sw4.png]] | [[Datei:linux-host-sw4.png]] | ||
| + | ==Dienste Frei schalten== | ||
| + | ;ssh | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 22 | ||
| + | ;smtp | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 25 | ||
| + | ;http | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 80 | ||
| + | ;microsoft-ns | ||
| + | *switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 any eq 137 | ||
| + | ;microsoft-ssn | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 139 | ||
| + | ;imap | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 143 | ||
| + | ;https | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 443 | ||
| + | ;microssoft ds | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 445 | ||
| + | ;imaps | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 993 | ||
Version vom 3. Februar 2016, 09:56 Uhr
Konzept
- Access Liste bilden
- Default Policy ist impliziet deny
- Access Group anwenden
Standardlisten von 1 bis 99
Nur die Quelladresse wird geprüft
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.53
- switch-gelb(config)#end
Anzeigen der Access Listen
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53
Anwenden der Access Group
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface Vlan1
- switch-gelb(config-if)#ip access-group 1 out
- switch-gelb(config-if)#exit
Von Vlan20 nach Vlan1
- Linux Host ip
- Linux Host ping
Linux freigeben
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.4
Anzeigen der neuen Access Liste
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53 20 permit 192.168.20.4
Ping von Linux Host geht
Erweitertelisten von 100 bis 199
- Quell- und Zieladresse sowie Quell- und Zielport als auch Protokoll
- Hier wird der Zugriff auf einen Nameserver frei geschaltet und ping(icmp) egal wohin
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 any
Access Liste anwenden
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface vlan 1
- switch-gelb(config-if)#do show run int vlan1
Building configuration... Current configuration : 88 bytes ! interface Vlan1 ip address 192.168.240.154 255.255.248.0 ip access-group 1 out end
- switch-gelb(config-if)#no ip access-group 1 out
- switch-gelb(config-if)#ip access-group 100 out
Linux Ping geht Http nicht
Dienste Frei schalten
- ssh
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 22
- smtp
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 25
- http
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 80
- microsoft-ns
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 any eq 137
- microsoft-ssn
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 139
- imap
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 143
- https
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 443
- microssoft ds
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 445
- imaps
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 993