ACL&apos;er i en Cisco-switch

Citera flera Citera

2012-11-11 16:48

Tanis

Medlem

Plats: Bro
Registrerad: Mar 2011

●

Vad skall du applicara ACLen? Inkommande/utgående? VLAN/port?
Du inser att du blockar allt annat än dina tre permits?
Endast tillåta echo-reply anses normalt vara litet snålt. Time-exceeded o unreachable brukar man som minimum dessutom släppa på.

Deny ip any any behöver du inte på slutet. Den är implicit. Ibland kör man den med "log" på slutet för logga/felsöka - men inte annars.

Citera flera Citera

2012-11-11 17:22

karlzon

Medlem

Plats: Skåne, Åstorp
Registrerad: Apr 2003

●

>Vad skall du applicara ACLen? Inkommande/utgående? VLAN/port?
Direkt på en port. Och gälla inkommande trafik från internet. Sett till porten är det trafik som flyter ut från porten. Som exempel är det port GE9 som är kopplad mot en fiberkonverterare (Internet). Och port FE8 som är kopplad till utrustningen. Vill ha ACLen på port FE8 och bara gälla trafik som går ut på den. Vilket gäller då? In/ut?

>Du inser att du blockar allt annat än dina tre permits?
Japp. Utrustningen har flera interface för programmering och hantering som går över andra accesser.

>Endast tillåta echo-reply anses normalt vara litet snålt. Time-exceeded o unreachable brukar man som minimum dessutom släppa på.
Tänkte blockera ping helt och hållet från början. Men då lägger jag på:
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable

>Deny ip any any behöver du inte på slutet. Den är implicit. Ibland kör man den med "log" på slutet för logga/felsöka - men inte annars.
Toppen, då kan jag plocka bort den.

Citera flera Citera

2012-11-11 17:55

jocke92

Medlem ★

Registrerad: Dec 2008

●

Om "80.90.0.98" osv. sitter bakom fa8 ska den sitta på in. Annars blir det på ut om du har "80.90.0.98" ute på internet. Rita routern/switchen, interfacen och sedan en pil i rätt riktning. Sedan ser du dig som utrustningen och en pil in i utrustningen blir då i riktning in.

Man kan lägga en deny i botten för att förtydliga att där ligger en deny. Men annars ligger en implicit.

Citera flera Citera

2012-11-11 18:07

Nickieponken

Medlem

Plats: Göteborg
Registrerad: Nov 2011

●

precis som Jocke säger så finns det alltid en Deny i botten men det skadar aldrig att skriva med den,

Du ska så länge du kan sätta accesslistor på in för att inte belasta CPUn, annars behandlas paketen i onödan innan dom kastas

Visa signatur

Chassi: Cooler Master HAF X 942 CPU: Intel 3770k @ 4.2 Ghz CPU Kylare: Corsair H80 Ram:16 Gig Balistic X 1600 MhzGPU: Sapphire Radeon R9 290X med Arctic Accelero Xtreme MB: MSI Z77A-GD65 PSU: Chieftec Nitro 750w 80+ Bronze SSDer: Crucial M4 64gb + 2st KINGSTON SSDNOW V+200 128gb i Raid 0Hårddiskar: 2st WD Black 1TB i raid 0 + en WD Green 2TB

Citera flera Citera

2012-11-11 19:05

karlzon

Medlem

Plats: Skåne, Åstorp
Registrerad: Apr 2003

●

Skrivet av jocke92:

Om "80.90.0.98" osv. sitter bakom fa8 ska den sitta på in. Annars blir det på ut om du har "80.90.0.98" ute på internet. Rita routern/switchen, interfacen och sedan en pil i rätt riktning. Sedan ser du dig som utrustningen och en pil in i utrustningen blir då i riktning in.

Fick av en kompis förklaringen på IN/OUT är räknat från switchen (eller router). Div sett från switchen så är allt inkommande IN och allt utgående OUT. Vilket också stämmer med din förklaring.

Skrivet av Nickieponken:

Du ska så länge du kan sätta accesslistor på in för att inte belasta CPUn, annars behandlas paketen i onödan innan dom kastas

Tack för tipset. I det här fallet vill jag inte lägga något alls på inkommande interface, eftersom det finns övrig utrustning parallellt med min som sköts av andra aktörer.

Citera flera Citera

2012-11-11 19:49

Tanis

Medlem

Plats: Bro
Registrerad: Mar 2011

●

Du har ett problem.

Lanlite stödjer inte ACLer på interface-nivå. Endast på VLAN.

Från 2960 Config guide:

If the switch is running the LAN Lite image, you can configure ACLs, but you cannot attach them to physical interfaces. When it is running either the LAN Lite or LAN base image, you can attach ACLs to VLAN interfaces to filter traffic to the CPU.

Citera flera Citera

2012-11-11 20:00

karlzon

Medlem

Plats: Skåne, Åstorp
Registrerad: Apr 2003

●

Skrivet av Tanis:

Du har ett problem.

Lanlite stödjer inte ACLer på interface-nivå. Endast på VLAN.

Från 2960 Config guide:

If the switch is running the LAN Lite image, you can configure ACLs, but you cannot attach them to physical interfaces. When it is running either the LAN Lite or LAN base image, you can attach ACLs to VLAN interfaces to filter traffic to the CPU.

Tack för länken. Förklarar "felet".

Switch(config-if)#ip access-group 101 in
%ERROR: Port-based ACLs are not supported with this image
Switch(config-if)#

Då får det bli på VLAN1 och till att revidera min lista. Hur blir nedan på native vlan? Här tillåter jag först trafik enbart från operatörens subnät mot den specifika IP-adressen för utrustningen på insidan. Sedan blockerar jag all övrig trafik till den utrustningen. I mitt sega söndagshuvud accepteras den första regeln för all önskad trafik. Medan den andra blockerar den oönskade. En permit ip any any i slutet får tillåta allt övrigt som inte fastnat i någon tidigare regel. Utrustningen bakom har bara port 5060 och 80 öppna för inkommande trafik. Tänks det rätt eller fel?

access-list 101 permit udp 80.90.0.98 0.0.255.255 80.90.53.11 0.0.0.0 eq 5060
access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 80.90.53.11 0.0.0.0 eq 80
access-list 101 deny tcp any 80.90.53.11 0.0.0.0 eq 80
access-list 101 permit ip any any

Senast redigerat 2012-11-11 20:23

Citera flera Citera

2012-11-13 18:55

jocke92

Medlem ★

Registrerad: Dec 2008

●

Skrivet av karlzon:

Tack för länken. Förklarar "felet".

Switch(config-if)#ip access-group 101 in
%ERROR: Port-based ACLs are not supported with this image
Switch(config-if)#

Då får det bli på VLAN1 och till att revidera min lista. Hur blir nedan på native vlan? Här tillåter jag först trafik enbart från operatörens subnät mot den specifika IP-adressen för utrustningen på insidan. Sedan blockerar jag all övrig trafik till den utrustningen. I mitt sega söndagshuvud accepteras den första regeln för all önskad trafik. Medan den andra blockerar den oönskade. En permit ip any any i slutet får tillåta allt övrigt som inte fastnat i någon tidigare regel. Utrustningen bakom har bara port 5060 och 80 öppna för inkommande trafik. Tänks det rätt eller fel?

access-list 101 permit udp 80.90.0.98 0.0.255.255 80.90.53.11 0.0.0.0 eq 5060
access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 80.90.53.11 0.0.0.0 eq 80
access-list 101 deny tcp any 80.90.53.11 0.0.0.0 eq 80
access-list 101 permit ip any any

Nej det ser fel ut. Bland annat om det är en specifik ip skriver du inget wc. Du skriver host framför adressen. // är kommentarer så du för förstår. Tror inte switchen bryr sig om du klistrar in dem.

Här är en ny lista som jag tror jag fått rätt
access-list 101 permit udp 80.90.0.98 0.0.255.255 host 80.90.53.11 eq 5060
//Adresser som börjar med 80.90 tillåts för trafik mot 80.90.53.11 på port 5060
access-list 101 deny udp any host 80.90.53.11 eq 5060
//hindrar alla andra för trafik mot 80.90.53.11 på port 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 host 80.90.53.11 eq 80
//Address som börjar med 60.60.200 tillåts att prata med 80.90.53.11 på port 80
access-list 101 deny tcp any host 80.90.53.11 eq 80
//blockerar övriga hostar att prata med 80.90.53.11 på port 80
access-list 101 permit ip any any
//tillåter resten

Citera flera Citera

2012-11-22 19:42

karlzon

Medlem

Plats: Skåne, Åstorp
Registrerad: Apr 2003

●

Skrivet av jocke92:

Nej det ser fel ut. Bland annat om det är en specifik ip skriver du inget wc. Du skriver host framför adressen.

Tack. Switchen accepterade raderna när jag skrev in dem. Men när jag kollade configen hade den skrivit om regeln. Div tagit bort wildcard och satt dig host framför adressen.

Switchen är nu inkopplad och fungerar som tänkt. Spökringningarna är borta.

Stort tack för hjälpen alla!

Citera flera Citera

2012-11-23 14:17

era909

Medlem ★

Plats: Örebro
Registrerad: Jan 2010

●

Skrivet av karlzon:

Tack. Switchen accepterade raderna när jag skrev in dem. Men när jag kollade configen hade den skrivit om regeln. Div tagit bort wildcard och satt dig host framför adressen.

Switchen är nu inkopplad och fungerar som tänkt. Spökringningarna är borta.

Stort tack för hjälpen alla!

Host eller att ange en wildcard med bara nollor blir samma resultat, det är bara smidigare att skriva med host istället för med wildcard.

Citat:

access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060

Den raden blockar udp port 5060 till alla adresser, inte bara till den du angivit. Om du inte har annan utrustning på någon annan adress inkopplad som behöver nås på den udp-porten så spelar det ingen roll, men den regeln du skrivit är mycket mer restriktiv än att bara blocka till just den adressen du ville.

En wildcardmask på 255.255.255.255 gör att den matchar vilket IP som helst, då alla värden får vara vad som helst och ändå matcha. Det är samma sak som att ange "any."

Visa signatur