Cisco ACLs: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| (17 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
=Konzept= | =Konzept= | ||
*Access Liste bilden | *Access Liste bilden | ||
| + | **Default Policy ist impliziet deny | ||
*Access Group anwenden | *Access Group anwenden | ||
=Standardlisten von 1 bis 99= | =Standardlisten von 1 bis 99= | ||
'''Nur die Quelladresse wird geprüft''' | '''Nur die Quelladresse wird geprüft''' | ||
| + | |||
*switch-gelb#configure terminal | *switch-gelb#configure terminal | ||
Enter configuration commands, one per line. End with CNTL/Z. | Enter configuration commands, one per line. End with CNTL/Z. | ||
*switch-gelb(config)#access-list 1 permit 192.168.20.53 | *switch-gelb(config)#access-list 1 permit 192.168.20.53 | ||
*switch-gelb(config)#end | *switch-gelb(config)#end | ||
| − | =Anzeigen der Access Listen= | + | |
| + | ==Anzeigen der Access Listen== | ||
*switch-gelb#show access-lists | *switch-gelb#show access-lists | ||
Standard IP access list 1 | Standard IP access list 1 | ||
10 permit 192.168.20.53 | 10 permit 192.168.20.53 | ||
| − | =Anwenden der Access Group= | + | ==Anwenden der Access Group== |
*switch-gelb#configure terminal | *switch-gelb#configure terminal | ||
Enter configuration commands, one per line. End with CNTL/Z. | Enter configuration commands, one per line. End with CNTL/Z. | ||
| Zeile 19: | Zeile 22: | ||
*switch-gelb(config-if)#ip access-group 1 out | *switch-gelb(config-if)#ip access-group 1 out | ||
*switch-gelb(config-if)#exit | *switch-gelb(config-if)#exit | ||
| − | =Von Vlan20 nach Vlan1= | + | ==Von Vlan20 nach Vlan1== |
;Linux Host ip | ;Linux Host ip | ||
[[Datei:linux-host-sw1.png]] | [[Datei:linux-host-sw1.png]] | ||
;Linux Host ping | ;Linux Host ping | ||
[[Datei:linux-host-sw2.png]] | [[Datei:linux-host-sw2.png]] | ||
| − | =Linux freigeben= | + | ==Linux freigeben== |
*switch-gelb#configure terminal | *switch-gelb#configure terminal | ||
Enter configuration commands, one per line. End with CNTL/Z. | Enter configuration commands, one per line. End with CNTL/Z. | ||
*switch-gelb(config)#access-list 1 permit 192.168.20.4 | *switch-gelb(config)#access-list 1 permit 192.168.20.4 | ||
| + | ==Anzeigen der neuen Access Liste== | ||
| + | *switch-gelb#show access-lists | ||
| + | Standard IP access list 1 | ||
| + | 10 permit 192.168.20.53 | ||
| + | 20 permit 192.168.20.4 | ||
| + | ==Ping von Linux Host geht== | ||
| + | [[Datei:linux-host-sw3.png]] | ||
| + | |||
| + | =Erweitertelisten von 100 bis 199= | ||
| + | ;Quell- und Zieladresse sowie Quell- und Zielport als auch Protokoll | ||
| + | ;Hier wird der Zugriff auf einen Nameserver frei geschaltet und ping(icmp) egal wohin | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53 | ||
| + | *switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53 | ||
| + | *switch-gelb(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 any | ||
| + | |||
| + | ==Access Liste anwenden== | ||
| + | *switch-gelb#configure terminal | ||
| + | Enter configuration commands, one per line. End with CNTL/Z. | ||
| + | *switch-gelb(config)#interface vlan 1 | ||
| + | *switch-gelb(config-if)#do show run int vlan1 | ||
| + | <pre> | ||
| + | Building configuration... | ||
| + | |||
| + | Current configuration : 88 bytes | ||
| + | ! | ||
| + | interface Vlan1 | ||
| + | ip address 192.168.240.154 255.255.248.0 | ||
| + | ip access-group 1 out | ||
| + | end | ||
| + | </pre> | ||
| + | *switch-gelb(config-if)#no ip access-group 1 out | ||
| + | *switch-gelb(config-if)#ip access-group 100 out | ||
| + | |||
| + | ==Linux Ping geht Http nicht == | ||
| + | [[Datei:linux-host-sw4.png]] | ||
| + | ==Dienste Frei schalten== | ||
| + | ;ssh | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 22 | ||
| + | ;smtp | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 25 | ||
| + | ;http | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 80 | ||
| + | ;microsoft-ns | ||
| + | *switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 any eq 137 | ||
| + | ;microsoft-ssn | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 139 | ||
| + | ;imap | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 143 | ||
| + | ;https | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 443 | ||
| + | ;microssoft ds | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 445 | ||
| + | ;imaps | ||
| + | *switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 993 | ||
| + | |||
| + | =Benannte Accesslisten Standard= | ||
| + | *switch-gelb# | ||
| + | *switch-gelb#configure terminal | ||
| + | *switch-gelb(config)#ip access-list standard sorry-acl | ||
| + | *switch-gelb(config-std-nacl)#permit 192.168.24.1 | ||
| + | *switch-gelb(config-std-nacl)#deny 192.168.24.0 0.0.0.255 | ||
| + | *switch-gelb(config)# exit | ||
| + | *switch-gelb# | ||
| + | |||
| + | =Benannte Accesslisten Extended= | ||
| + | *switch-gelb# | ||
| + | *switch-gelb#configure terminal | ||
| + | *switch-gelb(config)#ip access-list extended xinux-acl | ||
| + | *switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq www | ||
| + | *switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq 443 | ||
| + | *switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq domain | ||
| + | *switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq smtp | ||
| + | *switch-gelb(config-ext-nacl)# permit udp 192.168.20.0 0.0.0.255 any eq domain | ||
| + | *switch-gelb(config-ext-nacl)# permit icmp 192.168.20.0 0.0.0.255 any | ||
| + | *switch-gelb(config-ext-nacl)# permit udp any any eq bootps | ||
Aktuelle Version vom 9. Februar 2016, 09:34 Uhr
Konzept
- Access Liste bilden
- Default Policy ist impliziet deny
- Access Group anwenden
Standardlisten von 1 bis 99
Nur die Quelladresse wird geprüft
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.53
- switch-gelb(config)#end
Anzeigen der Access Listen
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53
Anwenden der Access Group
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface Vlan1
- switch-gelb(config-if)#ip access-group 1 out
- switch-gelb(config-if)#exit
Von Vlan20 nach Vlan1
- Linux Host ip
- Linux Host ping
Linux freigeben
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.4
Anzeigen der neuen Access Liste
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53 20 permit 192.168.20.4
Ping von Linux Host geht
Erweitertelisten von 100 bis 199
- Quell- und Zieladresse sowie Quell- und Zielport als auch Protokoll
- Hier wird der Zugriff auf einen Nameserver frei geschaltet und ping(icmp) egal wohin
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 any
Access Liste anwenden
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface vlan 1
- switch-gelb(config-if)#do show run int vlan1
Building configuration... Current configuration : 88 bytes ! interface Vlan1 ip address 192.168.240.154 255.255.248.0 ip access-group 1 out end
- switch-gelb(config-if)#no ip access-group 1 out
- switch-gelb(config-if)#ip access-group 100 out
Linux Ping geht Http nicht
Dienste Frei schalten
- ssh
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 22
- smtp
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 25
- http
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 80
- microsoft-ns
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 any eq 137
- microsoft-ssn
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 139
- imap
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 143
- https
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 443
- microssoft ds
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 445
- imaps
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 993
Benannte Accesslisten Standard
- switch-gelb#
- switch-gelb#configure terminal
- switch-gelb(config)#ip access-list standard sorry-acl
- switch-gelb(config-std-nacl)#permit 192.168.24.1
- switch-gelb(config-std-nacl)#deny 192.168.24.0 0.0.0.255
- switch-gelb(config)# exit
- switch-gelb#
Benannte Accesslisten Extended
- switch-gelb#
- switch-gelb#configure terminal
- switch-gelb(config)#ip access-list extended xinux-acl
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq www
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq 443
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq domain
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq smtp
- switch-gelb(config-ext-nacl)# permit udp 192.168.20.0 0.0.0.255 any eq domain
- switch-gelb(config-ext-nacl)# permit icmp 192.168.20.0 0.0.0.255 any
- switch-gelb(config-ext-nacl)# permit udp any any eq bootps